小迪web自用笔记49
目录权限:
如果一开始没有过滤,我开启目录权限,让用户可以读取,但是不能执行。
解码还原:
有些图片是这种东西。
这个是编码解码之后才会还原成图片。
*把这里的东西进行base64编码,然后后面要用的时候再来一个解码成这个东西↓
上传的时候他会变成这种↓
上传的就是这串数据
传统的是接收过来之后保存,这种这个文件转换成数据形式还原。
意义:
也就是说你即使有上传漏洞也没任何作用,因为他有固定的协议,是让这串编码以图片形式解析的东西。
这是一种存储方案,也是解析方案。
他的图片以这种方式存储,他只能以这种协议解析回来。
文件上传最重要的是后缀。
*这得看协议能不能改变。
分站存储,就搞两个域名,两个地方(两台服务器),一个地方专门存储一个地方放源码。
然后连上去之后你连的是另一个专门存东西的服务器上的。
一种是它只存储文件,另一种是它直接锁死,只让你存储不让你解析。
就别说这个换另一个服务器存储。
OSS
不过云产品火了之后就变成了只存储在云产品上。
他自己可以选择性的选出图片去显示。
判断:
上传文件403大概率就是云存储,拒绝访问。
解码还原,可以通过抓包分析看一下怎么传的,可以看F12前端源码。
分站存储,直接看域名地址。
OSS一打开就下载。(就是你如果直接访问的话,一打开就下载,固定逻辑)
第1种可能绕过,因为你控制的是一个目录
如果跳出目录就控制不了你。