Question

Мне было дано задание воспроизвести проблему / проверить несанкционированный доступ к файловой системе через request.param и строку запроса.

Например, у меня есть что-то вроде этого.Request.QueryString ( "л");Как кто-то может передать «../../../b1/b2» в строке запроса и получить доступ к файловой системе.

Это может быть связано с межсайтовым скриптингом.

Нужна помощь... по крайней мере, предоставить ресурсы.Заранее спасибо.

xelco52 · Answer 1 · 11 февраля 2011

Хотел бы я дать окончательный ответ, но, по крайней мере, могу направить вас в каком-то направлении.Не уверен, насколько вы уверены, что request.querystring () действительно был ответственным, но некоторые возможности:

Обратный путь в каталогах / обход пути:

Обзор: http://en.wikipedia.org/wiki/Directory_traversal
Тестирование для: http://www.owasp.org/index.php/Testing_for_Path_Traversal

Удаленное включение файла:

Обзор: http://en.wikipedia.org/wiki/Remote_file_inclusion
Учебник: http://www.offensivecomputing.net/?q=node/624 (Учебник KnightLighter)

Надеюсь, это приведет вас в правильном направлении.

Доступ к файловой системе через строку запроса или параметры

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Доступ к файловой системе через строку запроса или параметры

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы