最近一个项目,渗透测试出来的结果.
前端限制了只能是图片格式上传,但是 比如原本是.jsp格式的文件直接修改后缀名成 .png 于是前端拦截不到这个文件,再通过burp suite抓包更改 .png文件为 .jsp 这样的方式可以直接上传到服务器,并且后缀名为 .jsp.... 但是我后端限制了后缀名图片格式为.png(举例),那么这个 .jsp会被后端拦截 ,这会还需要做mime-type格式的判断吗?
最近一个项目,渗透测试出来的结果.
前端限制了只能是图片格式上传,但是 比如原本是.jsp格式的文件直接修改后缀名成 .png 于是前端拦截不到这个文件,再通过burp suite抓包更改 .png文件为 .jsp 这样的方式可以直接上传到服务器,并且后缀名为 .jsp.... 但是我后端限制了后缀名图片格式为.png(举例),那么这个 .jsp会被后端拦截 ,这会还需要做mime-type格式的判断吗?