开始
代码里面有个小的后门。文件上传的时候,前端进行选择
前端只限制了这几种格式
点击头像选择,这几个格式是可以选择的
gif格式的选择不了。
以上是在前端控制的,如果在后端接口被黑客攻击的话,它是不会访问前端的,它会直接访问后端的接口
直接攻击这个接口
由于我们的后端没有校验file的文件格式
后缀名的判断
// 获得文件的后缀名
String suffix = fileNameArr[fileNameArr.length - 1];
if(!suffix.equalsIgnoreCase("png") &&
!suffix.equalsIgnoreCase("jpg") &&
!suffix.equalsIgnoreCase("jpeg")
) {
return IMOOCJSONResult.errorMsg("图片格式不正确!");
}
重启服务器做测试
在前端故意加上可以选择gif格式的文件。但是目前后端接口是不支持的
故意选择一个gif格式的文件