翻译自Forced browsing 漏洞描述 强制浏览是一种攻击方式,其目的是枚举和访问未被应用程序引用,但仍可访问的资源。攻击者可以使用暴力攻击技术来搜索域目录内未被链接的内容,比如临时目录和文件,旧的备份和构造文件。这些资源可能存储有关Web应用程序和操作系统的敏感信息,例如源代码,证书,内部网络地址等,因此被视为入侵者的宝贵资源。当应用程序的索引目录和页面基于数字生成或可预测的值,或者使用自动化工具生成公用文件和目录名称时,可以手动执行此攻击。此攻击也称为可预测资源位置,文件枚举,目录枚举和资源枚举 攻击示…