一.目录遍历漏洞原理
目录遍历(路径遍历)是由于Web服务器或者Web应用程序对用户输入的文件名称的安全性验证不足而导致的一种安全漏洞,使得攻击者通过利用一些特殊字符就可以绕过服务器的安全限制,访问任意的文件(可以是Web根目录以外的文件),甚至执行系统命令。该漏洞常常出现在文件读取或者展示图片等对文件读取交互的功能块。
二.目录遍历漏洞防御方法
1.对用户的输入进行验证,特别是路径替代字符如“../”和“~/”。
2.尽可能采用白名单的形式,验证所有的输入。
3.合理配置Web服务器的目录权限。
4.当程序出错时,不要显示内部相关配置细节。
5.对用户传过来的文件名参数进行统一编码,对包含恶意字符或者空字符的参数进行拒绝。
标签:文件,遍历,Web,漏洞,服务器,目录 来源: https://www.cnblogs.com/ggc-gyx/p/16376031.html
本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享; 2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关; 3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关; 4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除; 5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。