0
我已經通過request.param和查詢字符串給出了重現問題/測試對文件系統的未授權訪問的任務。通過查詢字符串或參數訪問文件系統
例如我有這樣的事情。的Request.QueryString( 「嗒嗒」); 某人如何在查詢字符串和訪問文件系統中傳遞「../../../b1/b2」。
這可能與跨站點腳本相關。
需要幫助..至少提供資源。提前致謝。
A
回答
1
希望我能提供一個明確的答案,但至少可以引導你在的一些方向。不知道你是如何確信的Request.QueryString()確實是負責任的,但有些可能:
目錄遍歷/路徑遍歷:
概述:http://en.wikipedia.org/wiki/Directory_traversal
測試對於:http://www.owasp.org/index.php/Testing_for_Path_Traversal
遠程文件包含:
概述:http://en.wikipedia.org/wiki/Remote_file_inclusion
教程:http://www.offensivecomputing.net/?q=node/624(KnightLighter's Tutorial)
希望這會讓您朝着正確的方向前進。
相關問題
- 1. 訪問通過查詢字符串
- 2. 通過查詢字符串參數
- 3. 可通過HTTP請求訪問WCF,查詢字符串作爲參數
- 4. 從html頁面訪問查詢字符串/參數
- 5. 的.htaccess子域參數在查詢字符串無法訪問
- 6. 如何訪問asp.net mvc中的查詢字符串參數?
- 7. CouchDB - 在視圖中訪問查詢字符串參數
- 8. 通過一系列路由器鏈接構建查詢字符串參數
- 9. 無法通過查詢字符串參數註冊形式
- 10. 如何通過查詢字符串參數的ActionLink在MVC
- 11. 通過查詢字符串參數更改會話變量
- 12. Telerik報告|設置報表參數通過查詢字符串
- 13. 全文查詢字符串的全文查詢參數無效
- 14. 限制插件通過appdomain訪問文件系統和網絡
- 15. 跨平臺JS通過插件訪問本地文件系統?
- 16. 無法通過查詢字符串身份驗證訪問Amazon s3數據
- 17. 可能通過url查詢字符串通過參數調用ASMX服務?
- 18. 訪問xaml文件中的http查詢字符串
- 19. Xamarin.Android訪問文件系統
- 20. 通查詢字符串參數組件在angularjs
- 21. 通過字符串訪問JSON成員?
- 22. 通過EBP訪問本地字符串
- 23. 訪問查詢參數過濾表單
- 24. 文件系統查詢
- 25. SQLLite更新查詢參數不接受系統的字符串值
- 26. 路線通過查詢字符串
- 27. 通過queue.defer發送查詢字符串
- 28. 如何通過查詢字符串URL
- 29. 通過.HTACCESS傳遞查詢字符串
- 30. 如何通過USB訪問iPhone文件系統(從Windows)
你問如何使用遠程文件包含(RFI),本地文件包含(LFI)? – 2011-02-11 02:21:52
@ K Lvanov,我在問如何做跨站點腳本。爲了誘導請求參數並訪問文件系統。如下所示。
gtk
2011-02-11 16:04:44