摘要:
系统中数据包含在一个HTTP响应头文件里,未经验证就发送给了web用户,即获取未经验证的值输入到头文件中。 String fileName = request.getParameter("fileName");fileName = new String(fileName.getBytes("gb23 阅读全文
摘要:
命令注入: 是指通过提交恶意构造的参数破坏命令语句结构,从而达到执行恶意命令的目的。 在Web应用中,有时候会用到一些命令执行的函数,如php中system、exec、shell_exec等,当对用户输入的命令没有进行限制或者过滤不严导致用户可以执行任意命令时,就会造成命令执行漏洞。 命令注入漏洞主 阅读全文