目录遍历

是什么?

目录遍历是网络配置缺陷,导致目录可以被任意浏览,使得一些隐私文件和目录被泄露。

为什么?

没有对../目录设置过滤、加密或权限,恶意用户可以跳转遍历服务器上的任意文件。

防御方案

  1. 加密参数传递的数据
    对参数进行base64加密后在进行传参
  2. 编码绕过
    URL编码
  3. 绕过文件后缀过滤
    攻击者会在文件名后放一个空字符节,如%00,绕过对文件后缀的检查

利用目录遍历上传shell并拿到一个低权限

探测敏感目录(探测工具:御剑,DirBuster等),弱口令登陆,查找利用的webshell上传点

posted @ 2024-09-20 14:57  伶俐虫虫  阅读(47)  评论(0编辑  收藏  举报