摘要:
越权 概述 权限控制,或者说功能访问控制,是某个主题对某个课题需要实施某种操作,而系统对这种操作的限制就是权限控制。 在web应用中根绝访问客体的不同一般的访问控制分为“基于URL的访问控制”、“基于方法的访问控制”和基于数据的访问控制。 用户 角色 权限。垂直权限一般中间添加了角色这一中间层,但是 阅读全文
摘要:
文件上传 概述 因为业务功能需求,很多web站点都有文件上传的接口,如: 1. 注册上传头像(如jpg,png,gif等) 2. 上传文件附件 文件上传本身没有问题关键在于文件上传后服务器怎么处理、解释文件。 要能利用有几个要素 1. 文件能被访问(可配合php文件解析漏洞) 2. 文件能被当作脚本 阅读全文