文章总结： 该文档详细介绍了文件上传漏洞中客户端检测的原理与绕过方法。实验通过Win10操作机与Apache靶机环境，演示了如何利用浏览器开发者工具定位并删除前端JS验证代码，从而绕过文件后缀名限制，成功上传并解析恶意脚本文件。核心结论是前端验证不可靠，建议配合后端校验以确保安全。 综合评分： 81 文章分类： WEB安全,渗透测试,实战经验,漏洞POC

网安每日干货分享《客户端检测与绕过之删除浏览器事件》-0304

原创

建哥聊安全 建哥聊安全

建哥聊安全

2026年3月4日 08:40 湖南

客户端检测与绕过之删除浏览器事件

实验目的

通过本实验，掌握文件上传客户端的检测原理以及绕过方法。

实验环境

·操作机：Win10 用户名：Administrator 密码：Sangfor!7890

·靶机：Apache + PHP

·实验地址：http://ip/upfile/1/upload.html

实验原理

文件上传的客户端检测主要通过前端的JS代码获取文件后缀名进行验证，后端PHP代码没有对文件做任何检测，因此只需要绕过客户端检测。 客户端检测的绕过方法有三种：

1. 删除浏览器事件

2. 通过BurpSuite抓包修改后缀名

3. 伪造上传表单

实验步骤

1、登录操作机，打开浏览器，输入实验地址：http://ip/upfile/1/upload.html

2、在操作机上准备要上传的文件（脚本文件），比如新建info.php文件

3、点击“选择文件”按钮，选中要上传的文件

4、点击“submit”按钮，文件上传失败

5、根据提示，需要上传“jpg”的图片文件，点击“确定”返回上传页面，鼠标右击，点击“查看元素”

6、定位到文件域位置，可以看到表单调用了selectFile()函数

7、追溯到selectFile()函数，双击展开函数代码

8、从代码中可以分析出：表单调用JS代码的selectFile()函数，先获取上传文件的文件名，然后将文件名转换为小写，再通过substr函数截取文件后缀名（包括.）进行判断。所以只需要不调用该JS代码，删除浏览器事件，即onsubmit=” “

9、点击“submit”按钮，再次上传文件，脚本文件成功上传

10、访问http://ip/upfile/1/upload/info.php，上传的脚本文件成功解析

实验总结

掌握文件上传的客户端检测原理以及通过删除浏览器事件，绕过JS代码的限制。

请在微信客户端打开

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：建哥聊安全 建哥聊安全 建哥聊安全《网安每日干货分享《客户端检测与绕过之删除浏览器事件》-0304》