绕过content-type检测上传
有些上传模块,会对 http 的类型头进行检测,如果是图片类型,允许上传文件到服务器,否则返回上传失败。因为服务端是通过 content-type 判断类型, content-type 在客户端可被修改。则此文件上传也有可能被绕过的风险有些上传模块,会对 http 的类型头进行检测,如果是图片类型,允许上传文件到服务器,否则返回上传失败。因为服务端是通过 content-type 判断类型, content-type 在客户端可被修改。则此文件上传也有可能被绕过的风险
content-type漏洞代码分析
content-type上传攻击检测
上传文件
抓包将 content-type 修改成 image/jpeg
不同上传文件修改格式方法:https://www.runoob.com/http/http-content-type.html