摘要：概念 恶意用户上传具有可执行命令功能的文件，通过远程工具连接后执行恶意命令，达到对网站的权限控制，甚至服务器的控制。 产生的必要条件 1）能够将 后门文件 成功上传 2）上传的文件能够被成功解析 常见的过滤方法及绕过方法 1）前端JS验证文件后缀 （1）关闭浏览器js执行 （2）刷新页面，抓取相应数 阅读全文

摘要：token概述 token是为了防止csrf而衍生的技术。黑客可以通过xss来获取用户的cookie，理论上也能获取当时页面上的token值，但是也仅仅是当时页面上的token值，如果与用户进行其他页面的跳转从而获取新的token值，xss是无法获取的。因此，有效地防范了csrf，但是能否伪造一个我 阅读全文