1:简单概述
简单来说就是网站提供了一个下载的操作功能,网站管理员没有进行严格的控制操作或者过滤检查,导致出现了恶意用户下载了网站的其他敏感文件,而不是下载了规定下载的文件。
也就是说,一些网站由于业务需求,往往需要提供文件查看或文件下载功能,但若对用户查看或下载的文件不做限制,则恶意用户就能够查看或下载任意敏感文件,这就是文件查看与下载漏洞。
2:漏洞应用举例
1:我们进入pikachu靶场的不安全的文件下载漏洞训练模块
1:简单概述
简单来说就是网站提供了一个下载的操作功能,网站管理员没有进行严格的控制操作或者过滤检查,导致出现了恶意用户下载了网站的其他敏感文件,而不是下载了规定下载的文件。
也就是说,一些网站由于业务需求,往往需要提供文件查看或文件下载功能,但若对用户查看或下载的文件不做限制,则恶意用户就能够查看或下载任意敏感文件,这就是文件查看与下载漏洞。
2:漏洞应用举例
1:我们进入pikachu靶场的不安全的文件下载漏洞训练模块