第三十四天：文件上传&黑白盒审计&逻辑&中间件&外部引用

1、白盒审计三要素

2、黑盒审计四要素

3、白黑测试流程思路

#详细点：

1、检测层面：前端，后端等

2、检测内容：文件头，完整性，二次渲染等

3、检测后缀：黑名单，白名单，MIME检测等

4、绕过技巧：多后缀解析，截断，中间件特性，条件竞争等

#本章课程内容：

1、文件上传-CTF赛题知识点

2、文件上传-中间件解析&编辑器安全

3、文件上传-实例CMS文件上传安全分析

实战案例：
前置：
后门代码需要用特定格式后缀解析，不能以图片后缀解析脚本后门代码(解析漏洞除外)

如：jpg图片里面有php后门代码，不能被触发，所以连接不上后门

如果要图片后缀解析脚本代码，一般会利用包含漏洞或解析漏洞，还有.user.ini&.htaccess

#白盒审计-Finecms-代码常规-处理逻辑
黑盒思路：寻找上传点抓包修改突破获取状态码及地址

进入用户页面发现上传点