文件上传XSS引发的安全问题
Posted piaomiaohongchen
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了文件上传XSS引发的安全问题相关的知识,希望对你有一定的参考价值。
文件上传xss,一般都是上传html文件导致存储或者反射xss
一般后缀是html,之前疏忽了,没怎么考虑文件上传xss
如果没有 验证文件内容,却验证了后缀的情况下,使用:
htm后缀:
测试代码:
<html> <body> <img src=1 onerror=alert(1)> </body> </html>
首先尝试:htm执行:
然后是ht空格m后缀:
如果改成其他非jpg/jpeg/png格式,改成其他任意后缀会怎么样?
改成jpgx
适用于过滤后缀时采用此方法,如果验证了图片尝试添加:Gif89a
测试web应用服务器:tomcat和apache
以上是关于文件上传XSS引发的安全问题的主要内容,如果未能解决你的问题,请参考以下文章
(2020上半年第18天第19天第20天合集(上传-实例测试上传-WAF绕过XSS跨站-原理分析)之演示③xss跨站实战演示)小迪网络安全笔记