php - 在 IIS 上运行 PHP 时会转换哪些字符?
问题描述
我正在阅读这篇关于文件上传漏洞的文章:https ://www.owasp.org/index.php/Unrestricted_File_Upload
我看到了这样的声明:
查找在文件上传过程中转换为其他有用字符的字符。例如,在 IIS 上运行 PHP 时,">"、"<" 和双引号 " 字符分别转换为可用于替换现有文件的 "?"、"*" 和 "." 字符(例如 " web<<" 可以替换“web.config”文件)。为了在正常的文件上传请求中的文件名中包含双引号字符,“Content-Disposition”标头中的文件名应该使用单引号(例如文件名='web"config' 替换 "web.config" 文件)。
- 谁能用一个例子向我解释一下?“web<<”将如何替换“web.config”和其他文件?
- 关于“内容处置”的第二部分?
解决方案
推荐阅读
- flutter - Flutter:如何为构建器手动设置索引?
- ios - IAP 是强制性的吗?
- angular - 如何通过单击引导导航选项卡中一个选项卡中的锚链接导航到另一个选项卡
- r - R:用一个测量值可视化两组相关性的图?
- javascript - 无法访问在本地节点服务器上创建的 API
- php - Queue::fake 不适用于 Laravel5 代码接收模块
- django - 在 Django 项目中使用 DNA 信息的 CSV 作为数据库的有效方法
- javascript - jQuery 中的 all 选择器 ("*") 是如何工作的?
- r - 编码问题:在R中将字节转换为汉字
- istio - 无法使用“将大型虚拟服务和目标规则拆分为多个资源”