2024年9月17日
pikachu靶场的代码审计,和一些危险函数
摘要: 对pikachu靶场进行代码审计,审计分析文件上传、命令执行漏洞,越权漏洞,sql注入,xxe漏洞 文件上传 client: 并未对后缀进行判断,只对大小做了验证 后端并未进行文件的类型校验,仅仅是生成了一个目录去保存上传的文件 同时对文件的保存路径暴露 MIME Type 只对mime进行了验证, 阅读全文
posted @ 2024-09-17 15:36 清水的秋 阅读(217) 评论(0) 推荐(0)