0
我已经通过request.param和查询字符串给出了重现问题/测试对文件系统的未授权访问的任务。通过查询字符串或参数访问文件系统
例如我有这样的事情。的Request.QueryString( “嗒嗒”); 某人如何在查询字符串和访问文件系统中传递“../../../b1/b2”。
这可能与跨站点脚本相关。
需要帮助..至少提供资源。提前致谢。
A
回答
1
希望我能提供一个明确的答案,但至少可以引导你在的一些方向。不知道你是如何确信的Request.QueryString()确实是负责任的,但有些可能:
目录遍历/路径遍历:
概述:http://en.wikipedia.org/wiki/Directory_traversal
测试对于:http://www.owasp.org/index.php/Testing_for_Path_Traversal
远程文件包含:
概述:http://en.wikipedia.org/wiki/Remote_file_inclusion
教程:http://www.offensivecomputing.net/?q=node/624(KnightLighter's Tutorial)
希望这会让您朝着正确的方向前进。
相关问题
- 1. 访问通过查询字符串
- 2. 通过查询字符串参数
- 3. 可通过HTTP请求访问WCF,查询字符串作为参数
- 4. 从html页面访问查询字符串/参数
- 5. 的.htaccess子域参数在查询字符串无法访问
- 6. 如何访问asp.net mvc中的查询字符串参数?
- 7. CouchDB - 在视图中访问查询字符串参数
- 8. 通过一系列路由器链接构建查询字符串参数
- 9. 无法通过查询字符串参数注册形式
- 10. 如何通过查询字符串参数的ActionLink在MVC
- 11. 通过查询字符串参数更改会话变量
- 12. Telerik报告|设置报表参数通过查询字符串
- 13. 全文查询字符串的全文查询参数无效
- 14. 限制插件通过appdomain访问文件系统和网络
- 15. 跨平台JS通过插件访问本地文件系统?
- 16. 无法通过查询字符串身份验证访问Amazon s3数据
- 17. 可能通过url查询字符串通过参数调用ASMX服务?
- 18. 访问xaml文件中的http查询字符串
- 19. Xamarin.Android访问文件系统
- 20. 通查询字符串参数组件在angularjs
- 21. 通过字符串访问JSON成员?
- 22. 通过EBP访问本地字符串
- 23. 访问查询参数过滤表单
- 24. 文件系统查询
- 25. SQLLite更新查询参数不接受系统的字符串值
- 26. 路线通过查询字符串
- 27. 通过queue.defer发送查询字符串
- 28. 如何通过查询字符串URL
- 29. 通过.HTACCESS传递查询字符串
- 30. 如何通过USB访问iPhone文件系统(从Windows)
你问如何使用远程文件包含(RFI),本地文件包含(LFI)? – 2011-02-11 02:21:52
@ K Lvanov,我在问如何做跨站点脚本。为了诱导请求参数并访问文件系统。如下所示。
gtk
2011-02-11 16:04:44