fuzz测试文件上传靶场的黑名单
fuzz(模糊测试)
黑白名单区别:
白名单过滤:只允许某些格式文件上传。其余不允许。(过滤大部分)
例如:.jpg .png .gif
黑名单过滤:不允许某些文件上传,其余都允许。(过滤小部分)
例如:
环境准备
pikachu 靶场
测试开始
靶场页面打开bp,和浏览器狐狸头代理
上传一个lyy.php文件
bp抓包
开始破解
发送到 Intruder 模块,标记上传的文件后缀名
进行爆破
破解成功
这次白名单过滤:只允许jpg,png, jpg 格式文件上传。其余不允许