1、前端JS,文件名过滤,Content-Type过滤 抓包修改文件名 2、文件头过滤绕过 以图片上传为例,PNG的文件头89504E47,将其加入白名单,凡是不是89504E47开头的文件,都不允许上传。 只需给webshell脚本的二进制文件,人工添加89504E47,即可绕过文件头过滤检验,且不影响webshell本身的功能。 3、.htaccess绕过 htaccess 文件是 Apache 服务器中的一个配置文件,它负责相关目录下的网页配置。 通过上传htaccess文件,可以改变可执行文件的后缀名 上传…