随笔分类 - Web漏洞
文件下载漏洞笔记
摘要:漏洞简介 在一些系统的业务需求中,网站往往需要提供文件查看或者下载的功能。如果对用户查看或者下载的文件不做限制,那么恶意用户就能够随意查看或者下载任意的文件,包括源文件以及敏感文件等等。 网站代码本身存在读取文件的函数调用,且输出的文件内容是任意的文件的时候,如果用户下载时读取文件的路径是可控的,并
文件包含漏洞笔记
摘要:漏洞简介 程序开发人员通常会把可重复使用的函数写到单个文件中,在使用某些函数时,直接调用此文件,则无须再次编写,这种调用文件的过程一般称为文件包含。如果包含的文件参数是可控的,那么就会导致文件包含漏洞的产生,文件包含可以分为本地文件包含和远程文件包含。 本地文件包含 能够访问并且包含本地文件的漏洞,
