摘要:
反序列化漏洞 简介 PHP反序列化漏洞也叫PHP对象注入,形成的原因是程序未对用户输入的序列化字符串进行检测,导致攻击者可以控制反序列化过程,从而导致代码执行、文件操作、执行数据库操作等参数不可控。 序列化是广泛存在与PHP、Java等编程语言中的一种将有结构的对象/数组转化为无结构的字符串并储存信 阅读全文
摘要:
任意文件下载漏洞 概述 网站由于业务需求,提供文件查看或下载功能,如果对用户查看或下载的文件不做限制,恶意用户就能够查看或下载任意文件,任意文件类型包含源代码文件、敏感文件等。 利用条件 存在读文件的函数 读取文件的路径可控且未校验或校验不严 输出了文件内容 常见敏感文件路径 Windows: C: 阅读全文