记录在做 burp lab 时学会的知识点。一个简单特点12<img src="/loadImage?filename=1.png">有的服务器会禁止使用相对地址,可以尝试使用绝对地址。有的会替换掉一些关键字符,试着用....// 或 ..../ 绕过。爆破有的要求固定文件路径开头有的要求以特定格式(比如.png)结尾,用 %00 做截断。
