小迪web自用笔记49

目录权限:

如果一开始没有过滤,我开启目录权限,让用户可以读取,但是不能执行。

解码还原:

有些图片是这种东西。

这个是编码解码之后才会还原成图片。

*把这里的东西进行base64编码,然后后面要用的时候再来一个解码成这个东西↓

上传的时候他会变成这种↓

上传的就是这串数据

传统的是接收过来之后保存,这种这个文件转换成数据形式还原。

意义:

也就是说你即使有上传漏洞也没任何作用,因为他有固定的协议,是让这串编码以图片形式解析的东西。

这是一种存储方案,也是解析方案。

他的图片以这种方式存储,他只能以这种协议解析回来。

文件上传最重要的是后缀。

*这得看协议能不能改变。

分站存储,就搞两个域名,两个地方(两台服务器),一个地方专门存储一个地方放源码。

然后连上去之后你连的是另一个专门存东西的服务器上的。

一种是它只存储文件,另一种是它直接锁死,只让你存储不让你解析。

就别说这个换另一个服务器存储。

OSS

不过云产品火了之后就变成了只存储在云产品上。

他自己可以选择性的选出图片去显示。

判断:

上传文件403大概率就是云存储,拒绝访问。

解码还原,可以通过抓包分析看一下怎么传的,可以看F12前端源码。

分站存储,直接看域名地址。

OSS一打开就下载。(就是你如果直接访问的话,一打开就下载,固定逻辑)

第1种可能绕过,因为你控制的是一个目录

如果跳出目录就控制不了你。

相关推荐
牢七5 小时前
小迪web自用笔记48
web app
牢七1 天前
小迪web自用笔记47
web app
牢七2 天前
小迪web自用笔记44
web app
合作小小程序员小小店2 天前
web开发,在线%校园,论坛,社交管理%系统,基于html,css,python,django,mysql
数据库·后端·mysql·django·web app
合作小小程序员小小店5 天前
web开发,在线%车辆管理%系统,基于Idea,html,css,vue,java,springboot,mysql
java·spring boot·vscode·html5·web app
宠友信息6 天前
类似小红书垂直社区APP小程序源码
java·开发语言·微信小程序·小程序·uni-app·开源·web app
牢七6 天前
小迪web自用笔记40
web app
牢七6 天前
小迪web自用笔记37
web app
伍哥的传说18 天前
Vite Plugin PWA – 零配置构建现代渐进式Web应用
开发语言·前端·javascript·web app·pwa·service worker·workbox