文件类型绕过攻击
使用burp 抓包工具进行抓包分析。
测试地址:http://192.168.1.180/4.7.8/upload.html
在这里插入图片描述
上传php文件,更改上传文件类型就可以进行绕过。
代码分析:
服务端代码判断 F I L E S [ " f i l e " ] [ " t y p e " ] 是 不 是 图 片 的 格 式 ( i m a g e / g i f , i m a g e / j p e g , i m a g e / p j p e g ) , 如 果 不 是 , 则 不 允 许 上 传 该 文 件 , 而 _FILES["file"]["type"]是不是图片的格式(image/gif,image/jpeg,image/pjpeg),如果不是,则不允许上传该文件,而 FILES["file"]["type"]是不是图片的格式(image/gif,image/