目錄遍歷(路徑遍歷)是由於web伺服器或者web應用程式對使用者輸入的檔名稱的安全性驗證不足而導致的一種安全漏洞,使得攻擊者通過利用一些特殊字元就可以繞過伺服器的安全限制,訪問任意的檔案(可以是web根目錄以外的檔案),甚至執行系統命令。該漏洞常常出現在檔案讀取或者展示等對檔案讀取互動的功能塊。
1.對使用者的輸入進行驗證,特別是路徑替代字元如「../」和「~/」。
2.盡可能採用白名單的形式,驗證所有的輸入。
3.合理配置web伺服器的目錄許可權。
4.當程式出錯時,不要顯示內部相關配置細節。
5.對使用者傳過來的檔名引數進行統一編碼,對包含惡意字元或者空字元的引數進行拒絕。
目錄遍歷漏洞
一.什麼是目錄遍歷漏洞 目錄遍歷 路徑遍歷 是由於web伺服器或者web應用程式對使用者輸入的檔名稱的安全性驗證不足而導致的一種安全漏洞,使得攻擊者通過利用一些特殊字元就可以繞過伺服器的安全限制,訪問任意的檔案 可以使web根目錄以外的檔案 甚至執行系統命令。二.目錄遍歷漏洞原理 程式在實現上沒有充...
目錄遍歷漏洞
二 目錄遍歷漏洞第二種情況 windows作業系統目錄遍歷攻擊 uri編碼形式的目錄遍歷攻擊 unicode utf 8編碼形式的目錄遍歷攻擊 當微軟向他們的web服務增加unicode支援時,一種新的編碼方式 被引入,也正是這一舉動最終引入了目錄遍歷攻擊。許多帶百分號的編碼方式 例如 c1 1c ...
基本漏洞原理及防禦(2)
xss 跨站指令碼攻擊 漏洞產生的原理 瀏覽器未對使用者的輸入內容做嚴格審查,同時html語言具有文字和標籤屬性,瀏覽器會將惡意構造的輸入識別成標籤,從而執行。漏洞攻擊原理 攻擊者利用特殊字元構造惡意的指令碼 欺騙瀏覽器將其識別成標籤,從而達到使瀏覽器執行惡意操作的目的。可能產生的後果 例如利用js...