Java代码审计——文件操作漏洞
Web 本身的这一个功能,从而实现形如任意文件上传、任意文件下载/读取、任意文件删除等漏洞,有的场景下甚至可以利用文件解压实现目录穿越或拒绝服务攻击等,对服务器造成巨大的危害。文件上传的检测是重中之重,任意文件上传漏洞给攻击者带来的危害是巨大的,因此对于安全审计者来说,上传漏洞是审计工作中的重点内容。文件写入与文件上传比较相似,不同的是,文件写入并非真正要上传一个文件,而是将原本要上传的文件中的代码通过。的核心功能之一,其中常用的操作就是将服务器上的文件以流的形式在本地读写,或上传到网络上,Java。
复制链接