fuzz测试文件上传靶场的黑名单 以 upload-labs 第三关为例 选择文件,开启 bp 拦截,点击上传 发送到 Intruder 模块 为文件名添加有效负载标记 载入测试字典,并取消选项中的 url 编码,开始攻击 查看爆破记录,数据包长度相同的返回结果相同,如长度为 3809 的数据包能够成功上传 长度为 3812 的数据包上传失败 可以选择返回值长度为 3812 的数据包来查看文件上传靶场的黑名单