小迪web自用笔记49

目录权限:

如果一开始没有过滤,我开启目录权限,让用户可以读取,但是不能执行。

解码还原:

有些图片是这种东西。

这个是编码解码之后才会还原成图片。

*把这里的东西进行base64编码,然后后面要用的时候再来一个解码成这个东西↓

上传的时候他会变成这种↓

上传的就是这串数据

传统的是接收过来之后保存,这种这个文件转换成数据形式还原。

意义:

也就是说你即使有上传漏洞也没任何作用,因为他有固定的协议,是让这串编码以图片形式解析的东西。

这是一种存储方案,也是解析方案。

他的图片以这种方式存储,他只能以这种协议解析回来。

文件上传最重要的是后缀。

*这得看协议能不能改变。

分站存储,就搞两个域名,两个地方(两台服务器),一个地方专门存储一个地方放源码。

然后连上去之后你连的是另一个专门存东西的服务器上的。

一种是它只存储文件,另一种是它直接锁死,只让你存储不让你解析。

就别说这个换另一个服务器存储。

OSS

不过云产品火了之后就变成了只存储在云产品上。

他自己可以选择性的选出图片去显示。

判断:

上传文件403大概率就是云存储,拒绝访问。

解码还原,可以通过抓包分析看一下怎么传的,可以看F12前端源码。

分站存储,直接看域名地址。

OSS一打开就下载。(就是你如果直接访问的话,一打开就下载,固定逻辑)

第1种可能绕过,因为你控制的是一个目录

如果跳出目录就控制不了你。

相关推荐
2401_885405519 天前
定位守护童年,科技构筑安全屏障
科技·物联网·安全·小程序·宠物·web app·智能手表
合作小小程序员小小店10 天前
web开发,学院培养计划系统,基于Python,FlaskWeb,Mysql数据库
后端·python·mysql·django·web app
牢七17 天前
小迪web自用笔记59
web app
牢七17 天前
小迪Web自用笔记58
web app
牢七19 天前
小迪web自用笔记55
web app
牢七19 天前
小迪自用web笔记53
web app
牢七21 天前
小迪web自用笔记54
web app
牢七21 天前
小迪Web自用笔记52
web app
牢七21 天前
小迪web自动笔记50
web app