Quello che faccio di solito dipende dal tipo esatto di app. Se si tratta di un'applicazione di contenuto con contributo dell'utente in cui i file caricati sono visibili dopo il caricamento, è sufficiente caricare qualcosa di sicuro, trovare dove è stato caricato tramite la funzionalità dell'applicazione standard e questa è la posizione.
Supponendo che non sia così, hai un paio di opzioni. Se è possibile identificare il prodotto in uso (supponendo che si tratti di un'app pacchettizzata), un buon approccio è scaricare l'app o la documentazione e individuare la posizione predefinita da quella.
Se è su misura, è probabile che torni all'approccio bruteforcing che stai attualmente utilizzando. come hanno menzionato @ lucas-kauffman e @polynomial, è possibile / probabile che l'applicazione venga caricata al di fuori della web root, nel qual caso non sarà possibile accedere direttamente al contenuto.
Ovviamente ci sono altre cose che potresti fare come parte di un pentest con una funzione di caricamento dei file che potrebbe comunque essere interessante. Uno standard che potresti non aver ancora provato è caricare eicar per controllare l'AV nella funzione di caricamento, in molti casi hanno vinto " ne ho.