学习笔记三十五：前端验证的突破

拿到站点后先对站点进行一些基本的判断：

通过F12的开发者功能在网站的响应头Response header的server部分查看到他的服务器类型和编写语言

通过对网站url里字母转换大小写，观察网页是否还能正常来判断系统，若正常则说明是Windows的

如何探查是为前端验证：

• 右键查看源码
• 直接上传文件，如果网站非常快的弹出提示，那么这个操作一定不是在服务端进行的而是在本地，进而判断出是Javascript的原因

如何绕过前端验证：

• 通过浏览器审查元素就是F12开发者功能里的Elements查看器对网页的代码查看，找到对文件格式或大小的限制然后修改即可
• 通过burpsuite工具对浏览器进行代理，抓包对包里的内容进行修改
• 浏览器禁用JavaScript脚本

什么是前端验证：

<script type="text/javascript">
      function checkFile() {
           var file = document.getElementsByName('upload_file')[0].value;
           if (file == null || file == "") {
               alert("请选择要上传的⽂件!");
               return false;
           }
           //定义允许上传的⽂件类型
           var allow_ext = ".jpg|.png|.gif";
           //提取上传⽂件的类型
           var ext_name = file.substring(file.lastIndexOf("."));
           //判断上传⽂件类型是否允许上传
           if (allow_ext.indexOf(ext_name) == -1) {
               var errMsg = "该⽂件不允许上传，请上传" + allow_ext + "类型的⽂件,当前⽂件类型为："
               + ext_name;
               alert(errMsg);
               return false;
           }
  }
</script>