漏洞类型

SSRF漏洞(Server-Side Request Forgery,服务器端请求伪造) 原理 由攻击者构造请求，由服务端发起请求的安全漏洞 一般来说，SSRF攻击的目标是外网无法访问的内部系统(由于

### 任意文件下载漏洞 #### 原理： 利用存在读文件的函数，读取文件的路径用户可控且未校验或校验不严；输出了文件内容 #### 细节点： 任意文件下载和任意文件读取有着相似的地方，都是需要路径

文件上传漏洞原理 原理 简：没有对客户端上的文件做严格的验证和过滤 详：用户可越过其本身权限向服务器上传可执行的动态脚本文件(WebShell) 文件上传漏洞绕过方法 前端JS绕过 黑白名单绕过 文件

条件竞争漏洞 服务器端漏洞，由于服务器端在处理不同用户的请求时是并发进行的，当并发处理不当或相关操作逻辑顺序设计不合理便会产生条件竞争漏洞 如何利用条件竞争漏洞 背景知识 web程序有上传文件、头像和

文件上传漏洞 原理 简：没有对客户端上的文件做严格的验证和过滤 详：用户可越过其本身权限向服务器上传可执行的动态脚本文件(WebShell) 文件上传漏洞绕过方法 前端JS绕过 黑白名单绕过 文件类型