今天接到任务,搞测试~
打开页面平平无奇
搞了半天,账号也不给,纯黑盒测试。
只能拿扫描器扫扫交个水洞了,结果,出高危了。。。
这是我抓包的:
扫描器扫的:
在cookie里面多了一个url请求,我都不知道为啥能这样测试,提示可以任意文件包含。
那我就干脆搞个php官网给他请求上去,而且这个路径也是扫描器自己构建的,真搞不懂=-=
发包。。。
访问路径,结果你猜怎么着,相当于在这个域名目录下面读取了文件,还能显示出来。。。真搞不懂,有时候真就挺神奇的。
同时欢迎关注我的公众号,leison安全~