問題を再現し、request.param とクエリ文字列を介してファイル システムへの不正アクセスをテストするタスクが与えられました。
たとえば、私はこのようなものを持っています。request.querystring("何とか"); クエリ文字列に「../../../b1/b2」を渡してファイル システムにアクセスするにはどうすればよいでしょうか。
これは、クロス サイト スクリプティングに関連している可能性があります。
助けが必要です..少なくともリソースを提供してください。前もって感謝します。
決定的な答えを提供できればいいのですが、少なくとも何らかの方向にあなたを導くことができます. request.querystring() が実際に責任を負っていたことにどれほど自信があるかはわかりませんが、いくつかの可能性は次のとおりです。
ディレクトリ トラバーサル/パス トラバーサル:
概要: http://en.wikipedia.org/wiki/Directory_traversal
テスト対象: http://www.owasp.org/index.php/Testing_for_Path_Traversal
リモート ファイルの包含:
概要: http://en.wikipedia.org/wiki/Remote_file_inclusion
チュートリアル: http://www.offensivecomputing.net/?q=node/624 (KnightLighter のチュートリアル)
これがあなたを正しい方向に動かしてくれることを願っています。