渗透测试_目录遍历漏洞

目录遍历漏洞

 ../返回上级目录 
/遍历根目录 
./当前目录 
c:\访问 c 盘 
~/ 当前用户目录

遍历网站或系统结构，寻找敏感文件，配合其他漏洞造成严重的安全隐患。

中间件目录遍历攻击
中间件如果设置不当的时，也会造成目录遍历，如 apache ngnix iis 目录浏览，均可造成目录遍历，但是这种目录遍历，只能遍历网站根目录，除非有特殊设置。
通过遍历目录或文件，寻找敏感文件，如 session 登录验证文件，数据库备份等。

1.对用户的输入进行验证，特别是路径替代字符如“../”和“~/”。
2.尽可能采用白名单的形式，验证所有的输入。
3.合理配置 Web 服务器的目录权限。
4.当程序出错时，不要显示内部相关配置细节。
5.对用户传过来的文件名参数进行统一编码，对包含恶意字符或者空字符的参数进行拒绝。

posted @ 2023-04-18 21:57 KAKSKY 阅读(203) 评论(0) 编辑收藏举报

刷新页面返回顶部

登录后才能查看或发表评论，立即登录或者逛逛博客园首页

相关博文：

· 渗透测试_数据库安全

· 渗透测试_命令注入漏洞

· 目录遍历漏洞

· web基础漏洞-目录遍历漏洞

· 网络安全中的目录遍历指什么?

阅读排行：
· 单线程的Redis速度为什么快？
· 展开说说关于C#中ORM框架的用法！
· Pantheons：用 TypeScript 打造主流大模型对话的一站式集成库
· SQL Server 2025 AI相关能力初探
· 为什么退出登录或修改密码无法使 token 失效

昵称： KAKSKY
园龄： 5年4个月
粉丝： 0
关注： 12

2025年3月

日

一

二

三

四

五

六