0
我已經通過request.param和查詢字符串給出了重現問題/測試對文件系統的未授權訪問的任務。通過查詢字符串或參數訪問文件系統
例如我有這樣的事情。的Request.QueryString( 「嗒嗒」); 某人如何在查詢字符串和訪問文件系統中傳遞「../../../b1/b2」。
這可能與跨站點腳本相關。
需要幫助..至少提供資源。提前致謝。
A
回答
1
希望我能提供一個明確的答案,但至少可以引導你在的一些方向。不知道你是如何確信的Request.QueryString()確實是負責任的,但有些可能:
目錄遍歷/路徑遍歷:
概述:http://en.wikipedia.org/wiki/Directory_traversal
測試對於:http://www.owasp.org/index.php/Testing_for_Path_Traversal
遠程文件包含:
概述:http://en.wikipedia.org/wiki/Remote_file_inclusion
教程:http://www.offensivecomputing.net/?q=node/624(KnightLighter's Tutorial)
希望這會讓您朝着正確的方向前進。
相關問題
- 1. 訪問通過查詢字符串
- 2. 通過查詢字符串參數
- 3. 通過查詢字符串通過查詢字符串訪問s3存儲桶通過Route53 A記錄
- 4. 可通過HTTP請求訪問WCF,查詢字符串作爲參數
- 5. 通過字符串訪問數組
- 6. Java通過URL訪問DFS文件系統中的文件
- 7. 從html頁面訪問查詢字符串/參數
- 8. 傳遞分隔字符串以訪問查詢作爲參數
- 9. 訪問xsl中的查詢字符串參數值
- 10. 的.htaccess子域參數在查詢字符串無法訪問
- 11. 如何訪問asp.net mvc中的查詢字符串參數?
- 12. CouchDB - 在視圖中訪問查詢字符串參數
- 13. 通過一系列路由器鏈接構建查詢字符串參數
- 14. 如何通過查詢字符串參數的ActionLink在MVC
- 15. 通過使用自定義查詢字符串參數值
- 16. 無法通過查詢字符串參數註冊形式
- 17. 如何通過字符串的查詢參數在@ Html.ActionLink
- 18. Telerik報告|設置報表參數通過查詢字符串
- 19. node.js通過查詢字符串傳遞參數
- 20. Symfony 1.4 - 通過查詢字符串參數路由
- 21. 如何查詢字符串參數通過proxy_pass與nginx轉發?
- 22. 通過查詢字符串參數更改會話變量
- 23. 僅當通過該查詢字符串訪問時保留URL上的查詢字符串
- 24. 跨平臺JS通過插件訪問本地文件系統?
- 25. 限制插件通過appdomain訪問文件系統和網絡
- 26. 全文查詢字符串的全文查詢參數無效
- 27. 訪問2010參數查詢 - 與或
- 28. 無法通過查詢字符串身份驗證訪問Amazon s3數據
- 29. Xamarin.Android訪問文件系統
- 30. 訪問文件系統
你問如何使用遠程文件包含(RFI),本地文件包含(LFI)? – 2011-02-11 02:21:52
@ K Lvanov,我在問如何做跨站點腳本。爲了誘導請求參數並訪問文件系統。如下所示。
gtk
2011-02-11 16:04:44