幻灵祭祀

摘要： 今天客户提出需要检验系统的安全性并且提出几点需要处理： 1、任意下载文件问题 可以任意下载文件，在使用burp抓包后，发送请求可以随便下载文件，解决方法对传入的路径过滤".","\","、"字符串。 2、发射型xss 可以通过XSS过滤检测或者对数据进行转义。 3、使用备份获取shell 限定文件后 阅读全文