1、基础简介
文件操作控制不善可以造成读取、下载、写⼊、遍历、⽬录穿越、删除等漏洞
Java几乎没有“文件包含”漏洞,jsp可以造成的影响极限基本也就xss,
一些Java的框架倒是有可能造成类似包含的效果,但是这类漏洞有属于自己的名称“SSTI(模板注入漏洞)”
可以参考:
https://cloud.tencent.com/developer/article/2204413
之前写的相关知识阅读,
2、文件操作类修复
~过滤“.”这个符号
~限制⽬录访问权限
~对⽂件名严格控制 判断是否为合法⽂件
3、目录遍历
一般而言漏洞其本身不会造成太大的危害,但是可以配合别的漏洞造成比较大的危害。
比如配合文件上传,
传到网站根目录造成rce,或者上传到已经存在的文件(将原本的文件覆盖)
配合文件读取漏洞,
造成任意文件读取
另外注意的是,
在Windows下该漏洞无法跨盘符读文件,也就是只能读取代码所在的盘符
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
