为了方便某些场景的使用,MySQL提供了LOAD DATA LOCAL INFILE语句,允许从客户端导入文件数据到服务器中。然而,由于此功能的实现逻辑存在一定缺陷,可能会造成服务端能在未经客户端允许的情况下读取客户端的文件内容。
首先,我们来分析一下正常使用此功能时,客户端与服务端的流量交互过程。
这里笔者采用的PHPStudy搭建的MySQL环境。首先,开启正常的MySQL服务。
html读取本地txt_利用MySQL/MariaDB的逻辑缺陷伪造恶意服务端读取客户端文件
最新推荐文章于 2024-04-09 09:39:28 发布