第九周作业 1.不安全的文件下载原理和案例 2.不安全的文件上传原理及客户端绕过案例 3.文件上传漏洞 mime type验证原理和绕过
1.不安全的文件下载原理和案例文件下载漏洞概述:大多数网站都提供了文件下载功能,即用户可以通过点击下载链接,下载到链接所对应的文件,但是如果对下载的文件没有做限制,直接通过绝对路径对其文件进行下载,那么,恶意用户就可以利用这种方式下载服务器的敏感文件,对服务器进行进一步的威胁和攻击。在pikachu平台下进行演示在不安全文件下载中,随意选择一张图片,正常情况下点击图片下的名字就会将图片保存到需要的