修补方案
- 不使用JavaScript作为验证工具
漏洞分析
本题是白名单类检测,需要先分析是前端检验还是后端检验。
如图:可以发现,在检测的时候并没有数据发送,可以判断这是前端检测。
那么去查看页面源代码
可以看到,它是基于 js 验证的,那么就可以试着禁用JavaScript。
当然也可以试着让他先通过验证,再在传输层进行修改
解题思路
思路一 - 伪装后缀名
通过burp 拦截到的数据是这样的,说明它是识别文件后缀名,并不检测文件内容。
实现
思路二 禁用JavaScript
JavaScript 的执行是在本地,而不是在云端。是通过本地浏览器所带有的JavaScript 引擎进行执行的。
