在写接口测试脚本时，我们经常需要携带网站的header等参数，比如：我们在浏览器检查工具看到某请求头为： 如果我们想在发请求时携带这个header，那么需要手动将其转为json格式。 今天推荐一个工具，可快速的将xxx:xxx 这种字符串格式转为json格 feapder简介 ...

转自http://blog.csdn.net/cd_xuyue/article/details/50560259 敏感字段 &RealPa ...

任意文件读取常见参数名： &RealPath= &FilePath= &file= &filename= &Path= &path= &inputFile= &url= &urls= &Lang= &dis ...

1.1 漏洞描述 上传漏洞这个顾名思义，就是攻击者通过上传木马文件，直接得到WEBSHELL，危害等级超级高，现在的入侵中上传漏洞也是常见的漏洞。 导致该漏洞的原因在于代码作者没有对访客提交的数据进行检验或者过滤不严，可以直接提交修改过的数据绕过扩展名的检验。 1.2 漏洞 ...

文件上传漏洞概念： 文件上传漏洞是指攻击者上传了一个可执行的文件到服务器并能够成功执行 漏洞成因： 由于程序员在对用户文件上传部分的控制不足或者处理缺陷，而导致用户可以越过其本身权限向服务器上传可执行的动态脚本文件。 实验（低等级）： linux中可以使 ...

目录 任意文件读取和上传 任意文件读取 危害 存在位置 防御手段 例1 例2 任意文件上传 危害 防御手段 绕过姿势 ...

7 任意文件读取与下载 7.1 概念 对用户查看或下载的文件不做限制，就能够查看或下载任意的文件，可能是源代码文件、敏感文件等。 7.2 产生原因与危害 产生原因 ·存读取文件的函数 ·读取文件的路径用户可控，且未校验或校验不严 ...

任意文件下载 一、漏洞介绍 一些网站由于业务需求，往往需要提供文件查看或文件下载功能，但若对用户查看或下载的文件不做限制，则恶意用户就能够查看或下载任意敏感文件，这就是文件查看与下载漏洞。 二、利用方式 一般链接形式:download.php?path=down.php?file ...