摘要:
第七章 不安全的文件下载和上传 1.不安全的文件下载原理及演示 场景演示 可以通过点击名字来进行下载,在新建标签页打开 我们来看一下下载过程中的url 把ai.png这个filename传到了后台,后台去找这个文件,把这个文件读取后,又响应输出到前端,浏览器可以把它下载下来。 文件下载漏洞,可以用目 阅读全文
摘要:
第六章 Files Inclusion(文件包含漏洞) 1.文件包含原理及本地文件包含漏洞演示 本地: 后台使用包含的方法对目标文件进行包含,同时包含函数包含的文件是可以同时被前端用户所控制。因为可以被前端用户控制,这个时候前端用户传进来一个其他的文件,如果包含函数的入口并没有对前端传进来的文件做任 阅读全文