摘要：0x00 漏洞概述 任意文件上传漏洞主要是由于程序员在开发文件上传功能时，没有考虑对文件格式后缀的合法性进行校验或只考虑在应用前端（Web 浏览器端）通过 javascript 进行后缀校验，攻击者可上传一个包含恶意代码的动态脚本（如 jsp、asp、php、aspx 文件后缀）到服务器上，攻击者访 阅读全文

摘要：漏洞定义 不安全的直接对象引用，也被称IDOR。IDOR允许攻击者绕过网站的身份验证机制，并通过修改指向对象链接中的参数值来直接访问目标对象资源，这类资源可以是属于其他用户的数据库条目以及服务器系统中的隐私文件等等。导致这种情况出现的原因是，系统在接受用户输入并利用输入信息获取对象之前没有对用户身份 阅读全文