如果后台没有对前端传进来的值进行严格的安全考虑,则攻击者可能会通过“../”这样的手段让后台打开或者执行一些其他的文件。 从而导致后台服务器上其他目录的文件结果被遍历出来,形成目录遍历漏洞。
可以发现是通过URL传入文件名打开读取信息
确实把根目录的1.txt这个测试文件读出来了
敏感信息:
比如直接将测试账号密码写在前端
比如直接将密码记录在cookie上
要注意对敏感信息的合理处理!
发布于 2021-11-13 543 次阅读
如果后台没有对前端传进来的值进行严格的安全考虑,则攻击者可能会通过“../”这样的手段让后台打开或者执行一些其他的文件。 从而导致后台服务器上其他目录的文件结果被遍历出来,形成目录遍历漏洞。
可以发现是通过URL传入文件名打开读取信息
确实把根目录的1.txt这个测试文件读出来了
敏感信息:
比如直接将测试账号密码写在前端
比如直接将密码记录在cookie上
要注意对敏感信息的合理处理!
Comments NOTHING