说明

这套 jQuery 图床小工具原本只在前端拦了一下文件类型，看着挺安全，其实后端没做严格校验。拿 Burp 一把抓包，把后缀改成 .php 照样能传上去，直接就能拿到 WebShell。会点 PHP 的，自己把上传判断再收紧就行，懒得动手就等着被日。

演示图

感谢您的来访，获取更多精彩文章请收藏本站。