摘要:
文件上传 很多网站注册的时候需要上传头像、上传附件等等。 当用户点击上传按钮后,后台会对上传的文件进行判断 比如是否是指定的类型、后缀名、大小等等,然后将其按照设计的格式进行重命名后存储在指定的目录。 如果说后台对上传的文件没有进行任何的安全判断或者判断条件不够严谨,则攻击着可能会上传一些恶意的文件 阅读全文
摘要:
文件下载: 很多网站上都会提供文件下载功能,用户通过点击下载链接,下载相应的文件。 如果文件下载功能设计不当,则可能导致攻击者可以通过构造文件路径,从而获取到后台服务器上的其他的敏感文件 (此时如果 攻击者提交的不是一个程序预期的的文件名,而是一个精心构造的路径(比如../../../etc/pas 阅读全文