保命测试之文件操作篇
2020-03-27 10:36:53 Author: forum.90sec.com(查看原文) 阅读量:220 收藏

其实这样的总结我早就想了,因为看到了太多了不太合规的测试了。(以下仅个人意见,有错误的请各位指出。)

文件上传

推荐上传一个访问一次之后自删除的脚本,如果无删除权限时,由于其只输出当前时间,也不会造成太大危害(也方便验证,如果显示当前时间则证明脚本能解析)。

ASP

<%
Response.Write now()
CreateObject("Scripting.FileSystemObject").DeleteFile(server.mappath(Request.ServerVariables("SCRIPT_NAME")))
%>

ASPX

<%@Page Language="C#"%>
<%
Response.Write(DateTime.Now.ToString("yyyy-MM-dd HH:mm:ss"));
System.IO.File.Delete(Request.PhysicalPath);
%>

PHP

<?php
date_default_timezone_set("Asia/Shanghai");
echo date("Y-m-d H:i:s",time());
unlink(__FILE__);
?>

JSP

<%@page import="java.text.*,java.util.*,java.io.*"%>
<%
SimpleDateFormat df = new SimpleDateFormat("yyyy-MM-dd HH:mm:ss");
out.println(df.format(new Date()));
File file = new File(application.getRealPath(request.getServletPath()));
file.delete();
%>

文件删除

自己上传文件,然后删除自己上传文件。如果自己无法上传,则不要测试。(也别删除别人的图标或者README.txt之类的文件)

文件覆盖

自己上传文件,然后覆盖自己上传文件。如果自己无法上传,则不要测试。(也别覆盖别人的图标或者README.txt之类的文件)


文章来源: https://forum.90sec.com/t/topic/905/5
如有侵权请联系:admin#unsafe.sh