这是一篇网络安全小白写的笔记。
目录
0 文件上传漏洞概述
1 利用文件名及文件类型名类漏洞
1.1 javascript检测扩展名绕过漏洞
1.2 0x00特殊字符截断漏洞
1.3 IIS和Windows系统下的“;”截断字符露洞
1.4FCKEditor为典型的黑名单式文件检测漏洞
2 利用文件内容类漏洞
2.1 文件头检测漏洞
3 利用系统漏洞
3.1 Apache从后往前解析特性
3.2 IIS 6文件夹拓展名漏洞
0 文件上传漏洞
上传漏洞是利用文件上传漏洞把脚本文件上传到服务器。
1 利用文件名类漏洞
1.1 javascript检测扩展名绕过漏洞
检测原理 通过js代码检测文件文件类型
function check(){
var filename=document.getElementById("file");
var str=filename.value.split(".");
var ext=str[str.length-1];
if(ext=='jpg'||ext=='png'||ext=='jpeg'||ext=='gif'){
return true;
}else{
alert("这不是图片!")
return false;
}
return false;
在表单中使用onsumbit=check