首页 > Web开发 > 详细

文件上传XSS引发的安全问题

时间:2019-04-26 19:42:44      阅读:376      评论:0      收藏:0      [点我收藏+]

  文件上传xss,一般都是上传html文件导致存储或者反射xss

  一般后缀是html,之前疏忽了,没怎么考虑文件上传xss

  如果没有 验证文件内容,却验证了后缀的情况下,使用:

  htm后缀:

  测试代码:

   

<html>
    <body>

    <img src=1 onerror=alert(1)>
    </body>
</html>

  首先尝试:htm执行:

  技术分享图片

 

然后是ht空格m后缀:

技术分享图片

 

  技术分享图片

 

如果改成其他非jpg/jpeg/png格式,改成其他任意后缀会怎么样?

  技术分享图片

 

改成jpgx

技术分享图片

适用于过滤后缀时采用此方法,如果验证了图片尝试添加:Gif89a

测试web应用服务器:tomcat和apache

文件上传XSS引发的安全问题

原文:https://www.cnblogs.com/piaomiaohongchen/p/10776110.html

(0)
(0)
   
举报
评论 一句话评论(0
关于我们 - 联系我们 - 留言反馈 - 联系我们:wmxa8@hotmail.com
© 2014 bubuko.com 版权所有
打开技术之扣,分享程序人生!