文件上传检测放到服务端安全吗?
这一部分中,他们将检测从前端放到了服务端,但我认为这、
任然不一定安全,下面我们开始在pikachu靶场中进行试验。
当我们选择非图片的文件时, 不会拦截; 而当点击上传时,
在服务端检测到非图片格式, 就被拦截了
下面,我们可以通过使用抓取数据包修改数据,来使文件绕过服务端。
但在此之前,我们需要明白MIME (Multipurpose Internet Mail Extensions)多用途互联网邮件扩展类型
MIME 是设定某种扩展名的文件用一种应用程序来打开的方式类型,当该扩展名文件被访问时,浏览器会自动使用指定应用程序来打开。多用于指定一些客户端自定义的文件名,以及一些媒体文件打开方式。
每个MIME类型由两部分组成,前面是数据的大类别,例如声音audio、图象image等,后面定义具体的种类。常见的 MIME 类型,比如:
- 超文本标记语言:.html,.html text.html
- 普通文件:.txt text/plain
- RTF文件:.rtf application/rtf
- GIF图形:.gif image/gif
- JPEG图形:.jpeg,.jpg image/jpeg
- 下面开始测试:
然后就可以成功绕过检测了。
- 服务端也不可以防住恶意文件。
