Accedi al file system tramite stringa di query o params
-
12-11-2019 - |
Domanda
Mi è stato assegnato un compito di riprodurre il problema/testare l'accesso non autorizzato al file system tramite requeram.param and query string.
Ad esempio, ho qualcosa di simile. request.querystring ("blah"); Come potrebbe qualcuno passare "../../../b1/b2" nella stringa di query e nel file system di accesso.
Ciò può essere correlato allo scripting del sito incrociato.
Hai bisogno di aiuto ... almeno fornire risorse. Grazie in anticipo.
Soluzione
Vorrei poter fornire una risposta definitiva, ma almeno posso guidarti alcuni direzione. Non sono sicuro di quanto tu sia sicuro di quella richiesta.Querystring () era davvero responsabile, ma alcune possibilità sono:
Directory Traversal/Path Traversal:
Panoramica: http://en.wikipedia.org/wiki/directory_traversal
Test per: http://www.owasp.org/index.php/testing_for_path_traversal
Inclusione dei file remoti:
Panoramica: http://en.wikipedia.org/wiki/remote_file_inclusion
Tutorial: http://www.offensivecomputing.net/?q=node/624 (Tutorial di Knightlighter)
Spero che questo ti muova nella giusta direzione.