web安全渗透测试十大常规项(一):web渗透测试之任意文件读取

#文件安全-下载&删除-黑白盒

1、下载=读取

常规下载URL:http://www.xiaodi8.com/upload/123.pdf

可能存在安全URL:http://www.xiaodi8.com/xx.xx?file=123.pdf

利用:常规下载敏感文件(数据库配置,中间件配置,系统密匙等文件信息)

2、文件删除(常出现后台中)

可能存在安全问题:前台或后台有删除功能应用

利用:常规删除重装锁定配合程序重装或高危操作

#目录安全-遍历&穿越-黑白盒

1、目录遍历

目录权限控制不当,通过遍历获取到有价值的信息文件去利用

2、目录穿越(常出现后台中)

目录权限控制不当,通过控制查看目录路径穿越到其他目录或判断获取价值文件再利用

#黑盒分析:

1、功能点

文件上传,文件下载,文件删除,文件管理器等地方

2、URL特征

文件名:

download,down,readfile,read,del,dir,path,src,Lang等

参数名:

file、path、data、filepath、readfile、data、url、realpath等

#白盒分析:

上传类函数,删除类函数,下载类函数,目录操作函数,读取查看函数等

相关推荐
白帽小阳2 小时前
2026前端面试题!(附答案及解析)
javascript·网络·python·安全·web安全·网络安全·护网行动
白帽小阳3 小时前
[特殊字符]【2026最新】零基础入门学网络安全(详细路线图),看这篇就够了!
学习·安全·web安全·网络安全·安全运营·学习路线·web渗透
HackTwoHub9 小时前
AI大模型攻击思路,涵盖提示词劫持、知识库投毒、多语种混淆 + 身份伪装、诱导 AI 输出涉密后台核心配置
人工智能·安全·web安全·网络安全·自动化·系统安全·安全架构
2601_957174651 天前
零基础学网络安全能学好吗
安全·web安全
Chengbei111 天前
VMware Workstation Pro 26H1免费虚拟化利器
运维·安全·web安全·自动化·系统安全·apache·安全架构
云水一下2 天前
DVWA从入门到精通(十八):Cryptography(密码学问题)
web安全·密码学·dvwa
糖果店的幽灵2 天前
安全测试从入门到精通 - 环境搭建与基础工具选择
安全·web安全
云水一下3 天前
DVWA从入门到精通(十七):Open HTTP Redirect(开放重定向)
web安全·dvwa·开放重定向
txg6663 天前
网络安全领域简报(2026年7月3日—10日)
安全·web安全·网络安全
Chengbei113 天前
SoloXSS:一款现代化的自托管 XSS平台
人工智能·安全·web安全·网络安全·自动化·xss·安全架构