研究 学院 beplay2018官网
bepaly下载网址 bepaly下载官网 关于 博客 职业生涯 合法的 接触 经销商
  1. beplay体育能用吗网络安全学院
  2. 基于DOM
  3. 本地文件路径操作

基于DOM的本地文件路径操作

在本节中,我们将讨论基于DOM的本地文件路径操作,看看攻击的潜在影响,突出显示可能导致这种漏洞的一些水槽,并建议您可以减少的方式你的曝光。

什么是基于DOM的本地文件路径操作?

当脚本将攻击者可控数据传递给文件处理API时,出现本地文件路径操作漏洞文件名范围。攻击者可能能够使用此漏洞来构建URL,如果由另一个用户访问,则导致用户的浏览器打开任意本地文件。

基于DOM的本地文件路径操作的影响是什么?

此漏洞的潜在影响取决于网站如何使用已打开的文件:beplay体育能用吗

  • 如果网站从文件beplay体育能用吗中读取数据,则攻击者可能能够检索此数据。
  • 如果网站将特定beplay体育能用吗数据写入敏感文件,则攻击者也可以能够将自己的数据写入文件,该文件可以是操作系统的配置文件。

在这两个情况下,潜在漏洞的实际利用性可能取决于网站上存在的其他合适的功能。beplay体育能用吗

哪个汇可以导致基于DOM的本地文件路径操作漏洞?

以下是其中一些主要汇可以导致基于DOM的本地文件路径操作漏洞:

filereader.readasarraybuffer()filereader.readasbinarystring()filereader.readasdataurl()filereader.readastext()filereader.readasfile()filereader.root.getfile()

如何防止基于DOM的本地文件路径操作漏洞

除了描述的一般措施基于DOM的漏洞页面,您应该避免允许从任何不受信任的源中的数据动态传递文件名到文件处理API。

在这个主题中

基于DOM的漏洞 DOM Clobbering.

所有主题

SQL注射 XS. CSRF. ClickJacking. 基于DOM 结束 XXE. SSRF. 请求走私 命令注射 服务器端模板注入 不安全的反序列化 目录遍历 访问控制 验证 OAuth身份验证 业务逻辑漏洞 beplay体育能用吗网络缓存中毒 HTTP主机标题攻击 beplay体育能用吗WebSockets. 信息披露 文件上传漏洞
免费尝试Burp Suite

使用Burp套件查找基于DOM的漏洞

bepaly下载app

免费注册以跟踪您的学习进度

通过Portswiggigger的Web安全学院工作的好处beplay官网可以赌beplay体育能用吗

  • 练习利用现实目标的漏洞。

  • 将您的进度从学徒记录到专家。

  • 看看你在我们的名声中排名的地方。

已经有了一个帐户?在此登录