欢迎您访问程序员文章站本站旨在为大家提供分享程序员计算机编程知识!
您现在的位置是: 首页

文件上传绕过JS验证

程序员文章站 2022-07-16 20:44:37
...

绕过JS验证

JS验证代码分析

<script type="text/javascript">
	function cheackFile(){
		var file = document,getElementsByName('upload_file')[0].value;
		if (file == null || file == "") {
			alert("请选择要上传的文件!");
			return false;
		}
		//定义允许上传的文件类型
		var allow_ext = ".jpg|.png|.gif";
		//提取上传文件的类型
		var ext_name = file.substring(file.lastIndexOf("."));
		//判断上传文件类型是否允许上传
		if (allow_ext.indexOf(ext_name) == -1) {
			var errMsg = "该文件不允许上传,请上传"+allow_ext+"类型的文件";
			alert(errMsg);
			return false;
		}
	}
</script>

文件上传绕过JS验证
------------------------------------------
1.利用浏览器的审查工具剔除JS,保存为新的文件后进行文件上传。
2.Burpsuite剔除响应JS
对于JS前端验证,直接删除掉JS代码之后就可以绕过JS验证。
文件上传绕过JS验证
上面两种方法是最简单最基础的文件上传绕过策略。