Šis raksts ir mašīntulkošanas spoguļraksts, lūdzu, noklikšķiniet šeit, lai pārietu uz oriģinālo rakstu.

Architect_Programmer_Code Lauksaimniecības tīkls»Arhitekts Programmēšanas .net/c # (Drošība).NET/C# novērš starpdirektoriju piekļuvi lejupielādēm
Skats: 49598|Atbildi: 0

[Avots] (Drošība).NET/C# novērš starpdirektoriju piekļuvi lejupielādēm

[Kopēt saiti]
Publicēts 2021-4-7 11:57:38 | | | |
Scenārijs: Ir API interfeiss, kas saņem ceļa parametrus, aizpilda faila ceļu, izmantojot noteiktas kārtulas, un pēc tam reaģē uz lejupielādi lietotājam.

Request:
IEGŪT /download_page?id=content.dat HTTP/1.1

Request:
GET /download_page?id=.. %2f.. %2fweb.config HTTP/1.1(Tādējādi tiek lejupielādēts servera fails web.config

Pieņemsim, ka D:\storage\123 ir veikala saknes direktorijs un visi saglabātie faili atrodas šajā direktorijā, kad lietotājs pievieno ceļu uz : . simbolu var šķērsot iepriekšējā direktorijā, un URL parametrs tiek nodots: /.. / Ērta piekļuve sensitīviem resursiem un lejupielādēm.

šķīdums

Vispirms apskatīsim renderējumus:



Kods ir šāds:







Iepriekšējo:MD5 tiešsaistes atšifrēšanas vietne, ko parasti izmanto mājās un ārzemēs
Nākamo:Atšķirība starp /bin/false un /sbin/nologin, kas aizliedz lietotājiem pieteikties

Saistītās ziņas
Atruna:
Visa programmatūra, programmēšanas materiāli vai raksti, ko publicē Code Farmer Network, ir paredzēti tikai mācību un pētniecības mērķiem; Iepriekš minēto saturu nedrīkst izmantot komerciāliem vai nelikumīgiem mērķiem, pretējā gadījumā lietotājiem ir jāuzņemas visas sekas. Informācija šajā vietnē nāk no interneta, un autortiesību strīdiem nav nekāda sakara ar šo vietni. Iepriekš minētais saturs ir pilnībā jāizdzēš no datora 24 stundu laikā pēc lejupielādes. Ja jums patīk programma, lūdzu, atbalstiet oriģinālu programmatūru, iegādājieties reģistrāciju un iegūstiet labākus oriģinālus pakalpojumus. Ja ir kādi pārkāpumi, lūdzu, sazinieties ar mums pa e-pastu.
Mail To:help@itsvse.com