摘要:
越权漏洞 越权漏洞概述: 如果使用A用户的权限去操作B用户的数据,A的权限小于B的权限,如果能够成功操作,则称之为越权操作。 越权漏洞形成的原因是后台使用了 不合理的权限校验规则导致的。 一般越权漏洞容易出现在权限页面(需要登录的页面)增、删、改、查的的地方,当用户对权限页面内的信息进行这些操作时, 阅读全文
摘要:
不安全的文件上传 不安全的文件上传漏洞概述: 文件上传功能在web应用系统很常见,比如很多网站注册的时候需要上传头像、上传附件等等。当用户点击上传按钮后,后台会对上传的文件进行判断 比如是否是指定的类型、后缀名、大小等等,然后将其按照设计的格式进行重命名后存储在指定的目录。 如果说后台对上传的文件没 阅读全文
摘要:
不安全的文件下载 文件下载漏洞概述: 很多网站都会提供文件下载功能,即用户可以通过点击下载链接,下载到连接对应的文件,但是,如果文件下载功能设计不当,则可能导致攻击者可以通过构造文件路径,从而获取到后台服务器上的其他敏感文件。(又称:任意文件下载)。所有与前端交互的数据都是不安全的! 文件下载漏洞防 阅读全文