upload-labs 解题报告 - 01

企业开发 2023-08-12 20:22:48 阅读次数: 0

修补方案

不使用JavaScript作为验证工具

漏洞分析

本题是白名单类检测，需要先分析是前端检验还是后端检验。
如图：可以发现，在检测的时候并没有数据发送，可以判断这是前端检测。
那么去查看页面源代码
可以看到，它是基于 js 验证的，那么就可以试着禁用JavaScript。
当然也可以试着让他先通过验证，再在传输层进行修改

解题思路

思路一 - 伪装后缀名

通过burp 拦截到的数据是这样的，说明它是识别文件后缀名，并不检测文件内容。
实现

思路二禁用JavaScript

JavaScript 的执行是在本地，而不是在云端。是通过本地浏览器所带有的JavaScript 引擎进行执行的。

猜你喜欢

转载自blog.csdn.net/qq_40790680/article/details/128971511

upload-labs 解题报告 - 01

upload-labs解题

upload-labs 解题报告 - 05

upload-labs 解题报告 - 04

upload-labs 解题报告 - 03

upload-labs 解题报告 - 02

[网络安全]upload-labs Pass-01 解题详析

upload-labs 解题报告 - 06&07

upload-labs通关(Pass01-Pass05)

[网络安全]upload-labs Pass-04 解题详析

[网络安全]upload-labs Pass-03 解题详析

[网络安全]upload-labs Pass-16 解题详析

[网络安全]upload-labs Pass-15 解题详析

[网络安全]upload-labs Pass-14 解题详析

[网络安全]upload-labs Pass-17 解题详析

[网络安全]upload-labs Pass-02 解题详析

[网络安全]upload-labs Pass-20 解题详析

[网络安全]upload-labs Pass-18 解题详析

[网络安全]upload-labs Pass-09 解题详析

[网络安全]upload-labs Pass-08 解题详析

[网络安全]upload-labs Pass-07 解题详析

[网络安全]upload-labs Pass-06 解题详析

[网络安全]upload-labs Pass-05 解题详析

[网络安全]upload-labs Pass-11 解题详析

[网络安全]upload-labs Pass-13 解题详析

[网络安全]upload-labs Pass-12 解题详析

[网络安全]upload-labs Pass-10 解题详析

[网络安全]upload-labs Pass-21 解题详析

[网络安全]upload-labs Pass-19 解题详析

upload-labs

今日推荐

周排行

Leetcode简单题61~80

解决zookeeper磁盘IO高的问题

多线程相关方法详解

Maven-setting.xml文件详解

Maven 项目的 classpath 理解

渊亭科技大数据笔试题

配置JVM内存分配

计算机网络个人学习笔记（三）网络层：第三部分连载

js中两个等号(==)和三个等号(===)的区别

用C程序自动打开电脑上的程序

每日归档

更多

2024-09-18(0)

2024-09-17(0)

2024-09-16(0)

2024-09-15(0)

2024-09-14(0)

2024-09-13(0)

2024-09-12(0)

2024-09-11(0)

2024-09-10(0)

2024-09-09(0)