fuzz(模糊测试)
黑白名单区别:
白名单过滤:只允许某些格式文件上传。其余不允许。(过滤大部分)
例如:.jpg .png .gif
黑名单过滤:不允许某些文件上传,其余都允许。(过滤小部分)
例如:
环境准备
pikachu 靶场
测试开始
靶场页面打开bp,和浏览器狐狸头代理
上传一个lyy.php文件
bp抓包![](https://i-blog.csdnimg.cn/blog_migrate/738d6c5e4dc6cd526151b1505859462e.png)
开始破解
发送到 Intruder 模块,标记上传的文件后缀名
进行爆破![](https://i-blog.csdnimg.cn/blog_migrate/b7d096505f4c6a5b7b9d72ba1cca5adb.png)
破解成功![](https://i-blog.csdnimg.cn/blog_migrate/6b91f5af014f7d2e29d8131cd2515169.png)
这次白名单过滤:只允许jpg,png, jpg 格式文件上传。其余不允许