摘要:
思维导图 知识点 水平越权,垂直越权,未授权访问 解释,原理,检测,利用,防御等 水平越权:通过更换的某个ID之类的身份标识,从而使得A账号获取(修改,删除等)B账号的数据。 垂直越权:通过低权限身份的账号,发送高权限账号才能有的请求,获得其高权限的操作。 未授权访问:通过删除请求中的认证信息后重放 阅读全文
摘要:
思维导图 知识点 文件下载,读取 原理,检测,利用,修复等 漏洞发现 从文件名,参数值,目录符号等 read.xxx?filename= down.xxx?filename= readfile.xxx?file= downfile.xxx?file= ../ ..\ .\ ./ 等 %00 ? %2 阅读全文
摘要:
思维导图 知识点 文件包含漏洞 原理,检测,类型,利用,修复等 原理:将文件以脚本执行 文件包含各个脚本代码 ASP,PHP,JSP,ASPXdeng <!--#include file="1.asp" --> <!--#include file="1.aspx" --> <c:import url 阅读全文