摘要: File Uplaod,即文件上传漏洞,通常是由于对上传文件的类型、内容没有进行严格的过滤、检查,使得攻击者可以通过上传木马获取服务器的Webshell权限,因此文件上传漏洞带来的危害常常是毁灭性的,Apache、Tomcat、Nginx等都曝出过文件上传漏洞。 LOW 源码 <?php if( i 阅读全文
posted @ 2020-03-29 19:33 陈子硕 阅读(848) 评论(0) 推荐(0) 编辑
摘要: File Inclusion,意思是文件包含(漏洞),是指当服务器开启allow_url_include选项时,就可以通过php的某些特性函数(include(),require()和include_once(),require_once())利用url去动态包含文件,此时如果没有对文件来源进行严格 阅读全文
posted @ 2020-03-29 16:59 陈子硕 阅读(202) 评论(0) 推荐(0) 编辑
摘要: CSRF,全程Cross-site request forgery,跨站请求伪造,是指利用受害者尚未失效的身份认证信息(cookie、会话等),诱骗其点击恶意链接或者访问包含攻击代码的页面,在受害人不知情的情况下以受害者的身份向(身份认证信息对应的)服务器发送请求,从而完成非法操作(如转账、改密等) 阅读全文
posted @ 2020-03-29 16:36 陈子硕 阅读(242) 评论(0) 推荐(0) 编辑