Доступ к файловой системе через строку запроса или параметры

Question

Мне дана задача воспроизвести проблему/проверить несанкционированный доступ к файловой системе через request.param и строку запроса.

Например, у меня есть что-то вроде этого. Request.QueryString ("л"); Как кто-то мог передать «../../../b1/b2» в строке запроса и файловой системе доступа.

Это может быть связано с межсайтовым скриптингом.

Нужна помощь .. по крайней мере, предоставить ресурсы. Заранее спасибо.

Answer 1

Желание я мог бы дать окончательный ответ, но может по крайней мере направить вас в направлении. Не уверен, насколько вы уверены в том, что Request.QueryString() действительно отвечает, но некоторые возможности:

Каталог Traversal/Path Traversal:

Обзор: http://en.wikipedia.org/wiki/Directory_traversal
тестирование для: http://www.owasp.org/index.php/Testing_for_Path_Traversal

Дистанционное включение файла:

Обзор: http://en.wikipedia.org/wiki/Remote_file_inclusion
Учебное пособие: http://www.offensivecomputing.net/?q=node/624 (Учебное руководство KnightLighter)

Надеюсь, что это приведет вас в правильном направлении.