gv7.me
上传包可“绕过”Java过滤器的检查?
0x01 背景说明月初和southwind0师傅做代码审计时,发现了一个比较奇葩的问题。系统设置了全局的XSS过滤器,在其他功能点上生效了,但在一个公告发布功能没有被过滤。southwind0师傅通过对比数据包发现公告发布数据包是上传包(也就是我们常见的上传POST请求)。后来我经过编写测试代码,发现过滤器确实无法过滤上传数据包的参数值。 这让我不禁思考 “上传包可绕过Java过滤器?”,如果是真