我已经通过request.param和查询字符串给出了重现问题/测试对文件系统的未授权访问的任务。通过查询字符串或参数访问文件系统
例如我有这样的事情。的Request.QueryString( “嗒嗒”); 某人如何在查询字符串和访问文件系统中传递“../../../b1/b2”。
这可能与跨站点脚本相关。
需要帮助..至少提供资源。提前致谢。
我已经通过request.param和查询字符串给出了重现问题/测试对文件系统的未授权访问的任务。通过查询字符串或参数访问文件系统
例如我有这样的事情。的Request.QueryString( “嗒嗒”); 某人如何在查询字符串和访问文件系统中传递“../../../b1/b2”。
这可能与跨站点脚本相关。
需要帮助..至少提供资源。提前致谢。
希望我能提供一个明确的答案,但至少可以引导你在的一些方向。不知道你是如何确信的Request.QueryString()确实是负责任的,但有些可能:
目录遍历/路径遍历:
概述:http://en.wikipedia.org/wiki/Directory_traversal
测试对于:http://www.owasp.org/index.php/Testing_for_Path_Traversal
远程文件包含:
概述:http://en.wikipedia.org/wiki/Remote_file_inclusion
教程:http://www.offensivecomputing.net/?q=node/624(KnightLighter's Tutorial)
希望这会让您朝着正确的方向前进。
你问如何使用远程文件包含(RFI),本地文件包含(LFI)? – 2011-02-11 02:21:52
@ K Lvanov,我在问如何做跨站点脚本。为了诱导请求参数并访问文件系统。如下所示。 gtk 2011-02-11 16:04:44