渗透测试编写漏洞报告_渗透测试编写漏洞

渗透测试编写漏洞报告_渗透测试编写漏洞

常见36种WEB渗透测试漏洞描述及解决方法-文件包含漏洞

漏洞描述:程序代码在处理包含文件时没有严格控制。可以先把上传的静态文件,或网站日志文件作为代码执行,或包含远程服务器上的恶意文件,获取服务器权限。

解决方法:

(1)严格检查变量是否已经初始化,严格检查include类的文件包含函数中的参数是否外界可控;

(2)对所有输入可能包含的文件地址,包括服务器本地文件及远程文件严格检查,参数中不允许出现../之类的目录跳转符;

288 0 2023-01-09 网站渗透