文件上传之后端黑白名单绕过

常见验证：

文件上传常见验证：

后缀名，类型，文件头等

后缀名：

黑名单，明确不让上传的脚本后缀（asp，php，jsp，aspx，war，cgi），如果有的文件格式过滤不玩的话可以上传别的文件类型

黑名单有缺陷，如果说黑名单定义不完全的情况下，你可以使用其他格式来达到同样的效果

php格式还可以执行：php5，Phtml等等。如果说对方的搭建平台允许上传这种文件，那么上传这种文件也是可以执行出PHP代码的效果的。

白名单，可以上传的文件格式（jpg，png，zip，rar，gif） – 直接， 后缀名

相对于黑名单来说白名单可能更为安全一些。想要上传文件的话，需要一些绕过的方法。

文件类型：MIME 信息 – 间接

在抓包的时候有一个Content-Type:image/gif或者applition/ocsteam，如果对方是采用这种方式进行验证的话，可以将applition修改为image，这种类型是可以伪造的，不严谨的

文件头：内容头信息 – 间接

不同的文件有不同的文件头，这个文件头也是可以进行修改的，在抓包的时候进行修改，或者在上传之前进行修改与上面的其实是类似的。

简要上传表单代码分析解释