奇安信攻防社区-师傅们，头像上传处都有些什么利用方式啊

师傅们，头像上传处都有些什么利用方式或者好的姿势啊，传个图片马上去它不解析，新人求师傅给点思路

默认排序时间排序

3 个回答

空城 - 安全小菜鸡 2023-01-04 11:17

1、不解析，可以尝试文件包含漏洞是否能二次利用

2、找到上传的图片的地址路径，fuzz，看能否找到别人传的或者系统的敏感图片（身份证、营业执照等等）

cooler 2023-01-04 16:15

直接传马试试，看下效果，有可能直接出结果噢

1521 2024-01-04 16:39

找到上传的图片的地址路径，fuzz测试，有无敏感信息泄露