0x00 背景介绍一些网站的业务需要,可能提供文件查看或下载的功能,如果对用户查看或下载的文件不做限制,就能够查看或下载任意的文件,可以是源文件,敏感文件等等
0x01 文件读取文免费云主机域名件读取在PHP这种可以有很多种方式实现,在web的默认情况下,$filename变量可能用户可控
0x02 实现文件下载的两种方式 1.直接下载:
2.增加header头当$filename没有经过校验,或者校验不合格,用户可以控制这个变量下载任意文件,比如/etc/passwd,./index.php、等等就造成了任意文件下载漏洞。
0x03 成因都有读取文件的函数
读物文件的路径用户可控,且没有经过校验,或者校验不严格
都输出文件内容
0x04 Google Serch
0x05 修复方案过滤<.>(点)
正则判断用户输入的参数格式,匹配输入的格式是否合格
php.ini配置open_basedir
0x06 实例漏洞利用(仅供测试,请勿随意破坏)地址:漏洞利用:地址:漏洞利用
小编给大家分享一下Ssl常见的错误有哪些,希望大家阅读完这篇文章后大所收获,下面让我们一起去探讨吧!Ssl常见的错误问题是不少见的。也就是说这个其实是很多的会遇到的一个情况,不过具体的一些常见的ssl错误是什么?这个似乎没有多少人是比较清楚的,那么现在我就来总…
免责声明:本站发布的图片视频文字,以转载和分享为主,文章观点不代表本站立场,本站不承担相关法律责任;如果涉及侵权请联系邮箱:360163164@qq.com举报,并提供相关证据,经查实将立刻删除涉嫌侵权内容。
微信扫一扫 
