目录遍历漏洞

一.目录遍历漏洞原理
目录遍历(路径遍历)是由于Web服务器或者Web应用程序对用户输入的文件名称的安全性验证不足而导致的一种安全漏洞，使得攻击者通过利用一些特殊字符就可以绕过服务器的安全限制，访问任意的文件(可以是Web根目录以外的文件)，甚至执行系统命令。该漏洞常常出现在文件读取或者展示图片等对文件读取交互的功能块。

二.目录遍历漏洞防御方法
1.对用户的输入进行验证，特别是路径替代字符如“../”和“~/”。

2.尽可能采用白名单的形式，验证所有的输入。

3.合理配置Web服务器的目录权限。

4.当程序出错时，不要显示内部相关配置细节。

5.对用户传过来的文件名参数进行统一编码，对包含恶意字符或者空字符的参数进行拒绝。