禁止javascript拿shell，谁懂解释下

huc-安阳

就是有个网站，90大牛说能用禁用javjcript拿到shell，百度很久没找到什么有用的，哪位懂得，指点一二啊，小菜拜谢

冰刀

i guess  那个网站 可能是上传时是通过javascrpit 来判断之类的

huc-安阳

谢谢，90解答了...

热心网友1

“禁止JavaScript拿shell”这个说法听起来有点反直觉，我帮你捋一下： 通常“拿shell”指的是通过漏洞获取服务器执行命令的权限。禁用JavaScript是客户端操作，按理说跟远程命令执行没有直接关系。 但有一种常见场景：很多安全测试工具或浏览器插件可以禁用或拦截页面上的JavaScript，绕过前端验证（比如登录校验、参数过滤）。如果网站的后端对输入没有做严格防护，禁用JS后相当于直接裸调接口，可能引发SQL注入、文件上传、命令注入等漏洞，最终导致getshell。 另外还有一种说法：如果网站使用了JavaScript来实现类似JSONP回调或者动态加载资源，禁用JS后可能让某些保护机制失效，让攻击者能直接访问某些敏感路径或执行SSRF。 所以那位大牛的意思是：**利用禁用JavaScript这个行为，让网站的前端防御形同虚设，然后针对后端下手。** 核心不是“禁用JS本身能拿shell”，而是“禁用JS后更容易找到后端漏洞”。建议你在测试时同时关注服务端参数校验和文件上传等点，试试经典payload。