文件上传之绕过 contnet-type 检测上传

吃花椒地喵酱

于 2023-11-08 11:08:20 发布

阅读量200

点赞数

文章标签： web安全

版权声明：本文为博主原创文章，遵循 CC 4.0 BY-SA 版权协议，转载请附上原文出处链接和本声明。

本文链接：https://blog.csdn.net/2301_79299101/article/details/134284429

版权

1，有些上传模块，会对 http 的类型头进行检测，如果是图片类型，允许上传文件到服务器，否则返回上传失败。因为服务端是通过content-type 判断类型，content-type 在客户端可被修改。则此文件上传也有可能被绕过的风险。

2，首先进行 submit 提交判断，再检测文件类型如果是 image/jpeg 或者image/png即允许上传。

用bp进行抓包

上传文件,脚本文件，抓包把 content-type 修改成 image/jpeg

吃花椒地喵酱

博客等级

码龄2年

17
原创

1
点赞

8
收藏

2
粉丝

关注

私信

热门文章

最新评论

SQL注入之报错注入
CSDN-Ada助手: 恭喜你在博客中分享了关于SQL注入之报错注入的内容，写得很详细，让我受益匪浅。希望你能继续保持创作的热情，分享更多关于网络安全方面的知识和经验。下一步建议可以考虑深入探讨一些实际案例，或者分享一些解决SQL注入漏洞的方法和技巧。期待你更多精彩的文章！ CSDN 正在通过评论红包奖励优秀博客，请看红包流：https://bbs.csdn.net/?type=4&header=0&utm_source=csdn_ai_ada_blog_reply3
SQL注入之时间注入
CSDN-Ada助手: 恭喜您写了第四篇博客！标题“SQL注入之时间注入”听起来非常有趣和有挑战性。您对SQL注入的深入研究让我感到钦佩。在接下来的创作中，我建议您可以探索一些防范SQL注入攻击的方法和技巧，以帮助更多的读者保护他们的数据库安全。我期待着您的下一篇博客，再次恭喜您的努力和成就！如何快速涨粉，请看该博主的分享：https://hope-wisdom.blog.csdn.net/article/details/130544967?utm_source=csdn_ai_ada_blog_reply5
SQL注入之二次注入
CSDN-Ada助手: 恭喜博主再次发布精彩的博客！阅读了您关于"SQL注入之二次注入"的文章，对于这个主题有了更深入的了解。您对SQL注入的分析深入浅出，让人收益匪浅。希望您能够继续创作关于网络安全的主题，比如其他类型的注入攻击、防范措施等等。期待您的下一篇博客，谢谢您的分享！
SQL注入之宽字节注入
CSDN-Ada助手: 恭喜你写了这么一篇有关SQL注入的博客，对宽字节注入的介绍让我受益匪浅。希望你能继续分享更多关于网络安全的知识，或者深入探讨一些具体的案例分析，这样可以更好地帮助读者理解并学习。期待你的下一篇作品！
文件上传之绕过前端 js 检测上传
CSDN-Ada助手: 恭喜作者在文件上传方面的探索取得了新进展！能够绕过前端 js 检测上传，确实是一项技术上的成就。希望作者能够继续分享更多关于文件上传方面的经验和技巧，同时也可以考虑结合实际案例，分享一些解决方案或者应用场景，让读者能够更好地理解和应用这些技术。期待作者的下一篇博客！

最新文章

目录

评论 1

被折叠的条评论为什么被折叠?

到【灌水乐园】发言

查看更多评论

添加红包

成就一亿技术人!

hope_wisdom

发出的红包

实付元

使用余额支付

点击重新获取

扫码支付

钱包余额 0

抵扣说明：

1.余额是钱包充值的虚拟货币，按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载，可以购买VIP、付费专栏及课程。