翻译自Forced browsing 漏洞描述 强制浏览是一种攻击方式，其目的是枚举和访问未被应用程序引用，但仍可访问的资源。攻击者可以使用暴力攻击技术来搜索域目录内未被链接的内容，比如临时目录和文件，旧的备份和构造文件。这些资源可能存储有关Web应用程序和操作系统的敏感信息，例如源代码，证书，内部网络地址等，因此被视为入侵者的宝贵资源。当应用程序的索引目录和页面基于数字生成或可预测的值，或者使用自动化工具生成公用文件和目录名称时，可以手动执行此攻击。此攻击也称为可预测资源位置，文件枚举，目录枚举和资源枚举 攻击示…