文件上传——js验证及如何绕过js验证

最新推荐文章于 2024-09-27 16:34:51 发布
最新推荐文章于 2024-09-27 16:34:51 发布
阅读量1.6k 收藏 4
点赞数 2
分类专栏: web渗透
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cxrpty/article/details/104297003
版权
本文介绍了在PHP环境下,文件上传时遇到的JavaScript验证问题及其绕过方法。当上传jpg文件时,验证允许上传,但上传php文件则被阻止。通过禁用JavaScript或使用Burp Suite抓包修改文件后缀,可以成功绕过JS验证,实现php文件的上传。
摘要由CSDN通过智能技术生成

实验环境:php和burp suite

实验步骤:

一、文件上传——js验证

html代码如下:

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
    <meta charset="utf-8">
</head>
<body>
<form  action="fileupload.php" onsubmit="return checkupload();" method="POST"enctype="multipart/form-data">
    <input type="file" id="uploadfile" name="uploadfile">
    <input type="submit">
</form>

<script type="text/javascript">
    function checkupload(){
        //判断文件类型
        //1.获取文件名   
        //document.getElementById   在html中通过id属性获取标签
          var filetag=document.getElementById("uploadfile")
          var filename=filetag.value;
        //2.从文件名上截取后缀名
        //a.获取最后一个点出现的位置
          v
最低0.47元/天 解锁文章
没有如果ru果
关注
专栏目录
web安全漏洞——身份验证绕过
m0_61506558的博客
10-11 5369
身份验证绕过是现代web应用程序中普遍存在的问题,但这类漏洞不容易发现。尽管单点登录(SSO)等工具通常是对旧的登录用户方式的改进,但仍然可能包含严重的漏洞。无论是业务逻辑漏洞还是其他软件缺陷,都需要敏锐的眼光来审视。0x01 刷新令牌接口的配置错误在这个漏洞中,用户一旦使用有效凭证登录到应用程序,它就会创建一个在应用程序其他地方使用的承载身份验证令牌。该认证令牌在一段时间后过期。就在过期之前,应用程序从接口。
绕开客户端JS验证
柠檬树
06-18 4423
我们在进行表单提交之前往往要进行表单校验,如文本框是否为空?是否包含为法字段?然而在进行web开发的过程中仅仅进行前端校验是远远不够的。因为能通过一些方式跳过前端的校验,因此服务端也非常有必要写校验的方法。
渗透测试--文件上传常用绕过方式
最新发布
lza20001103的博客
09-27 1644
渗透测试--文件上传常用绕过方式
绕开JS验证的方法汇总
"代码"的日常搬运
04-05 6741
1.应用场景 用于请求接口测试.[比如后端接口安全测试] 2.学习/操作 前言: 服务器端验证是必要的. 方法汇总 方法一 将页面保存到自己机器上, 然后把脚本检查的地方去掉,最后在自己机器上运行那个页面即可. 测试结果: TBD 方法二 ...
文件上传-绕过JS前端验证
T1ngSh0w的博客
09-18 2282
文件上传漏洞染过JS前端验证
文件上传漏洞03】前端JS检测与绕过实验(基于upload-labs-1的两种解决方法)
Fighting_hawk的博客
03-01 3878
1. 了解前端JS检测的方法。该方法能让普通用户更早发现自己上传文件是否出错,但是对于攻击者无法起到任何阻碍作用。 2. 掌握前端JS检测的两种绕过方法。
绕过本地验证提交表单(主要是绕过JS等一些验证
www.i201314.net
07-22 4546
比如上传或者自己定义提交的文件时,会在本地的代码中遇到阻碍,,也就是过   滤,过滤有两种,一种是在远程服务器的脚本上进行的过滤,这段代码是在服务器上运行后产生作用的,这种过   滤方式叫做远程过滤;另一种是在我们的IE浏览器里执行的脚本过滤,就是说是在我们自己的机器上运行后产   生作用的,这种过滤方式叫本地过滤.远程过滤要绕过是比较难的,但是对于仅仅只在本地过滤的程序,我们可
文件上传绕过1——前端绕过+.htacces绕过
xiaoheizi的博客
06-29 293
根据提示,可以判断是MIME验证上传时目标服务器检测Content-Type字段,直接burpsuite抓包,更改Content-Type为支持上传的类型。这种服务器检测和前端检测没什么太大区别,只是检查一下文件上传格式,虽然无法通过删除浏览器事件来绕过,但是依旧可以使用BURP抓包,修改绕过。将.htaccess文件上传,再将php.jpg上传,打开图片地址,图片内容成功被当作php执行。前端验证一般是在网页上写一段Js脚本,用Js去检测校验上传文件的后缀名,有白名单也有黑名单。
JavaScript程序设计——页面设置与表单验证实验报告.docx
11-11
实验报告的标题“JavaScript程序设计——页面设置与表单验证实验报告.docx”涉及的核心是JavaScript编程中的两个关键领域:页面设置和表单验证。在Web开发中,JavaScript是一种常用的客户端脚本语言,用于增强用户的...
文件上传漏洞——JS绕过
qq_42777804的博客
08-03 5599
预备知识 【BurpSuite】的基本使用 客户端javascript检测的原理 【中国菜刀】的基本使用 实验目的 绕过JavaScript验证检测,上传一句话木马。-- 实验工具 BurpSuite、中国菜刀、一句话木马 实验环境 服务器一台(Windows Server 2003)客户机一台(windows Server 2003) 实验步骤 第一步:打开下方网页,上传事...
突破JS本地验证限制:创新解决方案揭秘!
带你成为别人眼中的大佬!
10-10 195
然而,有时候我们需要在客户端绕过这些验证,例如,当我们需要测试某个特定的场景或者进行自动化测试时。例如,如果一个输入字段需要满足最小长度的要求,我们可以通过JavaScript代码将其最小长度属性修改为0,从而绕过验证。尽管这些方法可以帮助我们绕过本地验证限制,但在实际应用中应该谨慎使用,避免对应用程序产生不可预测的影响。需要注意的是,绕过JS本地验证可能会导致不可预测的结果,并且可能会破坏应用程序的预期行为。通过直接设置输入字段的值,我们可以绕过与用户输入相关的验证
文件上传 —— 靶场upload-labs-master
weixin_54431413的博客
03-23 8052
upload-labs靶场文件上传,前端和黑白名单验证绕过,代码逻辑问题。
文件上传】前端JS验证绕过与思考
redwand的博客
04-14 3420
文件上传中的前端JS验证,应该说是文件上传验证里面最简单的、也是最容易绕过验证,对于网络安全知识的积累,个人觉得最简单、基础的东西,往往要掌握的更加扎实,这样才能牢固的筑起万丈高楼,本文通过常规的集中绕过方式,对前端验证进行了一些总结和思考。
文件上传绕过JS验证
qq_25899635的博客
05-19 1297
绕过JS验证 JS验证代码分析 ------------------------------------------
JS前端绕过
看着博客敲代码
06-26 3065
web应用对用户上传文件进行了校验,该校验是通过前端JavaScript代码完成。恶意用户对前端JavaScript进行修改或通过抓包软件篡改上传文件的格式,就能绕过基于JS的前端校验。
文件上传验证绕过——客户端JS绕过
Williamanddog的博客
01-28 514
大致逻辑是:用户通过上传上传了恶意文件,通过服务器的校验后保存到指定的位置。经上传成功的文件时,上传的Web脚本会被Web容器进行解析,从而对网站造成危害。直接修改前端代码,上传,删除 form 标签的 onsubmit 事件即可成功上传文件上传是Web网页中常见的功能之一,通常情况下恶意的文件上传,会形成漏洞。先把一句话木马改为 .jpg|.png 其中一个后缀,上传,抓包。将return checkFile()删除,再上传一句话木马。浏览器直接禁用JS,先按F12,然后按F1,找到禁用JS
文件上传漏洞演示脚本之js验证
weixin_34253126的博客
05-10 324
文件上传漏洞演示脚本之js验证 0 0       716   关于文件上传漏洞,想必玩web安全的同学们都有接触,之前本站也发布过一篇文章介绍文件上传漏洞的各种绕过方法,但是只是有文档却没有演示代码,最近给公司一客户培训,就照文档中的绕过写出了相应的代码,方便我等小菜研究,此次的文章我会连续发几天都是关于如何绕过的,全都...
Web漏洞_文件上传总结(前端js验证、后端验证、DVWA1.9版本实验)
BeatRex的博客
11-29 4059
一、文件上传思路 首先我们通过一个网站上传一个非法格式的文件 在浏览加载文件,但还未点击上传按钮时便弹出对话框,内容如:只允许上传.jpg/.jpeg/.png后缀名的文件,而此时并没有发送数据包。 如果网页未弹窗,而在页面弹窗,则考虑后端验证 所以就围绕前端验证绕过和后端验证绕过这两方面展开讨论 二、前端验证 JavaScript验证的几种绕过方式: 2.1 通过浏览器审查元素对网页的代码...
如何跳过前端JavaScript的验证
weixin_38168322的博客
08-30 2473
经常听别人说不要把验证的功能放在前端,因为别人可以通过其他的方法跳过前端的校验,从而达到绕过前端的验证。 那么是如何绕过前端验证的?有很多的方法,我这里说一种方法。 1、就是先把网站下载下来保存到本地。 2、下载完之后改js里面的action地址,一般都是相对地址来的,直接改为网站的绝对地址就好了。 3、改完之后,把一些前端的验证方法删除掉,然后试着提交数据,就可以绕过前端校验了...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值