Toolverse
All skills
Testing

file-upload-testing

by Ed1s0nZ

文件上传漏洞测试的专业技能和方法论

Installation

Pick a client and clone the repository into its skills directory.

Installation

Quick info

Author
Ed1s0nZ
Category
Testing
Views
2
GitHub repo

About this skill

文件上传漏洞测试的专业技能和方法论

How to use

  1. Zainstaluj skill file-upload-testing w swoim środowisku agenta (np. Claude z obsługą skills). Skill zawiera metodologię testowania luk w przesyłaniu plików dla aplikacji webowych.

  2. Zacznij od testowania podstawowych typów plików – spróbuj przesłać rozszerzenia .php, .jsp, .asp, .aspx i ich warianty (.php3, .php5, .phtml). Testuj również dualne rozszerzenia (shell.php.jpg) i zmianę wielkości liter (shell.PHP).

  3. Testuj obejścia walidacji zawartości: zmień nagłówek Content-Type na image/jpeg przy przesyłaniu kodu PHP, lub dodaj magiczne bajty obrazu (np. GIF89a) przed kodem PHP.

  4. Sprawdź podatności parsowania serwera – Apache może interpretować shell.php.xxx jako PHP, IIS obsługuje shell.asp;.jpg, a Nginx podatny jest na shell.jpg%00.php. Dostosuj testy do docelowego serwera.

  5. Jeśli serwer usuwa przesłane pliki, spróbuj ataku race condition: przesyłaj plik PHP i natychmiast go żądaj, zanim zostanie usunięty. Użyj wielowątkowości do synchronizacji czasowej.

  6. Dla zaawansowanych scenariuszy przesyłaj .htaccess z dyrektywą AddType (aby zmienić interpretację rozszerzeń) lub obrazy zawierające webshelle (PHP, eval, system shells). Każda technika powinna być testowana w izolowanym środowisku testowym.

Related skills

langgraph-docs

by langchain-ai

Use this skill for requests related to LangGraph in order to fetch relevant documentation to provide accurate, up-to-date guidance.

Testing
23127

nextjs-developer

by zenobi-us

Expert Next.js developer mastering Next.js 14+ with App Router and full-stack features. Specializes in server components, server actions, performance optimization, and production deployment with focus on building fast, SEO-friendly applications.

Testing
166226

playwright-cli

by microsoft

Automates browser interactions for web testing, form filling, screenshots, and data extraction. Use when the user needs to navigate websites, interact with web pages, fill forms, take screenshots, test web applications, or extract information from web pages.

Testing
45103

textual

by KyleKing

Expert guidance for building TUI (Text User Interface) applications with the Textual framework. Invoke when user asks about Textual development, TUI apps, widgets, screens, CSS styling, reactive programming, or testing Textual applications.

Testing
69192

lean4-theorem-proving

by cameronfreer

Use when developing Lean 4 proofs, facing type class synthesis errors, managing sorries/axioms, or searching mathlib - provides build-first workflow, instance management patterns (haveI/letI), and domain-specific tactics

Testing
9108

langchain

by zechenzhangAGI

Framework for building LLM-powered applications with agents, chains, and RAG. Supports multiple providers (OpenAI, Anthropic, Google), 500+ integrations, ReAct agents, tool calling, memory management, and vector store retrieval. Use for building chatbots, question-answering

Testing
21123