arreglar
- No usar JavaScript como herramienta de validación
Análisis de vulnerabilidad
Esta pregunta es sobre la detección de listas blancas, es necesario analizar si es una inspección de front-end o una inspección de back-end.
Como se muestra en la figura: se puede encontrar que no se envían datos durante la detección, y se puede juzgar que se trata de una detección de front-end.
Luego verifique el código fuente de la página
y podrá ver que se basa en la verificación js, por lo que puede intentar deshabilitar JavaScript.
Por supuesto, también puede intentar dejarlo pasar la verificación primero y luego modificarlo en la capa de transporte.
ideas para resolver problemas
Idea 1 - sufijo de camuflaje
Los datos interceptados por burp son así, lo que indica que reconoce la extensión del archivo y no detecta el contenido del archivo.
lograr
Idea 2 Deshabilitar JavaScript
JavaScript se ejecuta localmente, no en la nube. Es ejecutado por el motor JavaScript del navegador local.