java - 针对目录遍历进行测试
问题描述
我在这个网站上阅读了关于测试目录遍历的内容:https://wiki.owasp.org/index.php/Testing_Directory_traversal/file_include_(OTG-AUTHZ-001)
最后它说
缺陷测试通过以下方式实现:
file=....//....//boot.ini
file=....\\....\\boot.ini
file= ..\..\boot.ini
但....\\ or ..../
实际上实现了什么?Javas URI 方法“normalize()”并不关心它,当我在 Windows 机器上尝试它时没有任何反应。
解决方案
推荐阅读
- mysql - azure cloud shell 工作时使用工作台访问 Azure MySQL 数据库
- javascript - Angular 2 Rxjs 在服务器响应后创建动作
- php - Google API + PHP + Ajax 调用 - 请求的资源上存在 Access-Control-Allow-Origin 标头
- python - sys.argv 列表索引超出范围错误
- html - 高度:自动扩展最小高度
- spring - 无法将类型为“java.lang.String”的属性值转换为所需类型“java.time.LocalDate”,用于百里香形式的属性“日期”
- html - 改变孩子在表格中的位置 - CSS
- javascript - JavaScript中的增量正确性递归算法
- .htaccess - Htaccess 重定向始终保留旧路径
- apache-spark - sparklyr 寻找使用时间序列的方法(hts、预测、timekit 或预言机)