危険なファイルのダウンロードの概要
多くのファイルダウンロード機能ウェブは、我々は、ダウンロードリンクをクリックしたとき、通常は、それがバックグラウンドにダウンロード要求を送信します、システム上に表示されます、この要求は通常要求を受信した後楽屋がコードをダウンロードするために開始されます、ダウンロードするファイルの名前が含まれています、対応するファイルのファイル名応答ブラウザへのダウンロードを完了します。要求を受信した後、ファイル名の舞台裏場合は、判断することなく、そのセキュリティのパスでの戦いに直接ファイルのダウンロードをし、危険なファイルのダウンロードの脆弱性につながる可能性があります。
この時点で、場合 、攻撃者が提出したプログラムは、ファイル名に期待されていないが、慎重に構築パスが(のような../../../etc/passwd)、それが直接指定されたファイルである可能性が高いですダウンロード。敏感な背景情報が得られ(パスワードファイル、ソースコードなどが)ダウンロードされます。
そのため、設計ファイルのダウンロード機能では、ダウンロードしたファイルがゴールで渡された場合は、前に来て、そのファイルには、安全性を考慮に渡す必要があります。 注意:すべてのデータとフロントエンドの相互作用が安全でないと軽視することはできません!
1. Etherealのビュー、
2. 直接によるので、ファイル名のファイルを読むために、その後、直接構築ペイロードは、ファイルの親ディレクトリを表示し、
3. down_nba.phpのダウンロードファイルダウン、