Day13

已于 2022-08-11 10:23:25 修改
阅读量375 收藏
点赞数
文章标签: 前端 javascript
于 2022-08-10 17:54:51 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_46702575/article/details/126271089
版权

文件上传-JS绕过

如何判断上传的文件是前端的JS验证?

前端JS对上传的文件进行检验(就是上传的文件还没有达到服务器,直接在前端报错出弹框说文件类型不符合),查看源代码,也可以看到前端页面代码中的对不符合文件进行过滤。

例:upload-labs中的Pass-01

  • 要上传一个webshell到服务器

  • 创建一个php文件,用来验证文件被成功上传

  • 可以看到,上传的文件不被允许,是一个弹窗(而且弹窗功能是javascript里会提供的)

  • 所以这里可能是一个前端的JS进行文件检验,再分析页面源代码

  • 看到确实如此,如果此时用burpsuite抓包是抓不到的,因为文件还没有被发送到服务器,就被前端JS给阻断了。所以这里需要将文件后缀名改为前端源代码中允许的。然后开启代理Burp进行抓包,再修改回php文件,重新Send发送

  • 在response返回的信息中,找到上传文件的位置

  • 然后浏览器进行访问,上传文件成功

  • 如果上传别的,例如一句话木马,就可以通过蚁剑连接,然后进行利用。
Zhenn~
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
后端list数据传输到前端html显示,后端list集合中的数据传递到前台HTML中显示(表格形式)...
weixin_31559919的博客
06-04 3503
关键字:web项目中前后台数据传递问题在学习web项目的过程中,我们肯定会遇到前后台数据交换问题。这个问题我也思考了很久,今天借此总结一下。由于博主水平有限,如有不当之处,还请大家多多指正,,废话不所说进入正题。一、HTML页面通过ajax发送http请求1,前端有个普通的HTML页面,如下。(页面引入了jquery,页面有个表格)2,通过ajax发送请求1 window.onload(funct...
html file验证文件是否上传,JavaScript判断文件上传类型的方法
weixin_31041583的博客
06-08 933
本文实例展示了JavaScript判断文件上传类型的方法,是一个非常常用的技巧。具体实现方法如下:文件上传时用到一个功能,使用html元素的input标签实现:选中图片后立即触发onchange事件上传图片,但是重复选择相同的图片不会触发onchang事件,解决办法如下:function imageSubmit(obj, imageType) {if (imageType == "0") {//相...
前端参数校验
qq_34501351的博客
12-20 432
参数校验有误,则报异常,通过异常统一管理,返回前端校验结果信息: Springboot前端参数校验 将错误信息绑定BindingResult中,通过切面实现返回值: Springboot前端参数校验
put上传接口数据php,api - php 如何判断有PUT方式的文件上传
weixin_32620855的博客
03-17 131
这个上传是可选的,如果有,连同表单在内的其他字段一齐有PUT方式发送过来,那么怎么判断传过来的有没有上传文件文件呢?我现在的解决办法是,读取PUT文件并入到一个临时文件里面,再用fiesize判断这个文件大小,如果为0的时候说明没有上传,但觉得这样做不稳妥,来请教一下。$handle = fopen('php://input', 'r');$fp = fopen($tmp_as, "w+");w...
利用注解进行前端传过来的参数校验
小林子的博客
01-18 2229
@NotNull和@Null 类型:任意类型。 前者作用:验证注解的元素值不是null,无法查检长度为0的字符串。后者作用:验证注解的元素值是null。 @NotBlank 类型:CharSequence类型。 作用:只应用于字符串且在比较时会去除字符串的首位空格后长度必须大于0。 @Min(value=值) 类型:BigDecimal,BigInteger,byte,short,int,long等任何Number或CharSequence(CharSequence存储的是数字字符..
day13资料web
10-18
day13资料web
day13.md
10-08
day13.md
学习JavaEE的day13
03-01
代码、理解图、资料
day13.xmind
09-02
day13-python3学习笔记
day13_API-异常.pdf
11-02
Java 中的 Math、BigInteger 和 BigDecimal 类 Java 语言中提供了多种数学类来帮助开发者进行数学运算,包括 Math、BigInteger 和 BigDecimal 类。这些类提供了丰富的数学方法,帮助开发者快速高效地进行数学运算。...
js 实现 判断上传文件的类型
03-30
js 实现 判断上传文件的类型! 值得下载看看!资源免费,大家分享!!
Web前端页面传值
01-09
web前端页面传值,页面间传值和页面内传值的实现,源码可以运行的案例
Day13-14
03-21
Day13-14
Day13:Day13 练习
07-01
第13天 练习 1.1: 书籍界面编写。 类 TestBook 和 BookImpl 实现。 练习 1.2: 编写的用户界面。 类 TestUser 和 UserImpl 实现。 练习 1.3:
python-Day13.rar
最新发布
04-09
python爬虫python-Day13.rar
前后端的传参与接参
sungancd的博客
06-20 1473
1.1 ?传参 http(s): //域名/项目名/接口名?key1=value1&key2=value21.2 restful风格 http(s): //域名/项目名/接口名/value1/value2(这种方法传的参数不是键值对)1,action : 传参的地址2,method : 传参的方式,get/post3,enctype: 上传文件的格式 multipart/form-data1、直接把表单的参数写在Controller相应的方法的形参中,适用于GET 和 POST请求方式。 2、通过HttpS
获取前端参数
blackball1998的博客
05-20 671
获取前端参数 当前端发送一个请求时,如何使用Spring MVC获取请求中携带的参数呢?在请求中可以有很多种携带参数的方式,获取的方式也不一样,本文介绍如何获取url上的参数,路径变量上的参数,以及请求体中的参数 @RequestParam 需要获取url上的参数,只需要在请求处理方法中,添加需要获取的参数,参数的名字就是请求中携带的参数名字,参数的类型可以对应请求中携带的参数类型,然后在参数前添加@RequestParam注解,就可以获取url上的参数了 @RestController public cl
JS判断文件大小是否上传
二进制的博客
10-30 4479
废话坑是自己累积的,跳与不跳只在一念之间啊!前端时间让做一个前端判断文件大小并提示是否可上传,由于前端代码太多,主要实现上传功能的代码我看出了。。。导致,这个功能直接没做出来!今天冷静下来,终于TM搞定了,年轻人啊,还是要心静!前端表单注意在submit前执行cheakFileSize 函数加以判断<form action="uploadFile.action" method="POST" enc
JS如何实现判断上传文件是否符合格式要求?
qq_45473786的博客
03-14 2992
文章目录案例描述基础知识效果展示页面加载完毕上传一张图片上传的不是一张图片HTML 代码JS实现代码 案例描述 在浏览器中上传一个文件,判断该文件是否为符合要求的图片(jpg png gif),如果上传的十一张符合要求的图片,浏览器弹出“是一张图片”的警告。若不是,则弹出’请传入一张图片’的警告 基础知识 用到JS中的onchange监听用户上传的文件类型 效果展示 页面加载完毕 上传一张图片 ...
谷粒学院day13笔记
09-04
谷粒学院day13笔记主要学习了关于数据可视化的内容。我们首先介绍了数据可视化的概念和作用,强调了它在数据分析和传达结果方面的重要性。然后,学习了Python中常用的数据可视化工具Matplotlib的用法。 在...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值