小迪web自用笔记24

黑名单机制。

如果被过滤可以试试PHP5看看过滤没(或者其他变种变形),但是得看环境有些环境会被当成下载,有些会直接打开。

白名单机制

只允许这几个特定后缀可以上传,比黑名单更安全。

直接从信息图中获取文件类型。

文件类型是由这个黄框判定↑(这个信息是上传自带的)

这东西的作用是判断文件的类型,如果把它改掉的话,就会直接绕过。

这不就是相当于把从后缀中获取文件类型换成了从信息头中获取吗?

*如何判断前端,F12就可以改的那种,就是前端。

./本目录,./../上级目录。↓

因为dir接受path中的值,而源代码中又没有过滤,所以就可以做到任意文件读取(①文件遍历漏洞),甚至可以跨目录,跨网盘↓

①由于遍历文件夹时没有控制参数,导致你可以随便跨。

php中的open basedir可以控制文件路径在一个固定区域(固定在一个目录)

相关推荐
牢七3 天前
小迪Web自用笔记23
web app
牢七3 天前
小迪自用web笔记22
web app
dzzzs6 天前
会议室预约小程序主要功能及预约审批流程
微信小程序·小程序·web app
探云抛雾؁ۣۖ20 天前
Docker 实战:情感分析系统-容器化部署全流程(sa-logic、sa-webapp、sa-frontend )
运维·docker·容器·web app·情感系统
卓码软件测评1 个月前
软件测试测评公司关于HTTP安全头配置与测试?
web安全·网络安全·安全性测试·web app
董技叔软件开发公司1 个月前
浅谈物联网嵌入式程序开发源码技术方案
物联网·软件需求·web app
魂兮归乡2 个月前
B2、进度汇报(— 25/06/16)
经验分享·spring boot·ai·vue·团队开发·课程设计·web app
程序员秘密基地2 个月前
基于html,css,vue,vscode,java,springboot,mysql数据库,在线考勤,管理系统
java·vue.js·spring·html·web app
前端与小赵3 个月前
ios如何把H5网页变成主屏幕webapp应用
ios·web app