文件上传绕过JS验证
程序员文章站
2022-07-16 20:44:37
...
绕过JS验证
JS验证代码分析
<script type="text/javascript">
function cheackFile(){
var file = document,getElementsByName('upload_file')[0].value;
if (file == null || file == "") {
alert("请选择要上传的文件!");
return false;
}
//定义允许上传的文件类型
var allow_ext = ".jpg|.png|.gif";
//提取上传文件的类型
var ext_name = file.substring(file.lastIndexOf("."));
//判断上传文件类型是否允许上传
if (allow_ext.indexOf(ext_name) == -1) {
var errMsg = "该文件不允许上传,请上传"+allow_ext+"类型的文件";
alert(errMsg);
return false;
}
}
</script>
------------------------------------------
1.利用浏览器的审查工具剔除JS,保存为新的文件后进行文件上传。
2.Burpsuite剔除响应JS
对于JS前端验证,直接删除掉JS代码之后就可以绕过JS验证。
上面两种方法是最简单最基础的文件上传绕过策略。