1,前台检测
前台检测是最喜闻乐见的,用burp截包改后缀就行
2.content-type检测
同1,用burp改一下就好
3.php00截断
比如a.php.jpg写成a.php%00jpg 系统以为已经截断 就变成了a.php
4.远端检测
如果不够严格,只检测黑名单,随便写个奇怪的后缀就会被执行。比如a.php.xxx Apache发现.xxx解析不了,就向前变成.php了
5.js检测
禁用掉js
6.解析规则
重写解析规则,传个覆盖.htacess的
一些杂七杂八的,比如程序员犯蠢区分了大小写,或者只过滤一次,或者脚本出问题只严格看php不看php+空格之类的
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
