📓Browser-based application LFI через просмотр исходного кода
Этот совет полезен для веб-приложений, которые используют веб-браузер для отображения URL-адреса, который вы им вводите. Достаточно найти место, где URL-адрес отображается на стороне сервера.
Естественно, при поиске уязвимостей, вы попытаетесь получить доступ к
Попробуйте вместо этого получить доступ к
Функцию «просмотр исходного кода» разработчики часто забывают добавить в чёрные списки.
#web
Этот совет полезен для веб-приложений, которые используют веб-браузер для отображения URL-адреса, который вы им вводите. Достаточно найти место, где URL-адрес отображается на стороне сервера.
Естественно, при поиске уязвимостей, вы попытаетесь получить доступ к
«file:///etc/passwd», верно? Но что, если он находится в черном списке или каким-то образом заблокирован?Попробуйте вместо этого получить доступ к
«view-source:file:///etc/passwd»!Функцию «просмотр исходного кода» разработчики часто забывают добавить в чёрные списки.
#web