路徑遍歷攻擊,是指在訪問存儲(chǔ)在Web根文件夾之外的文件和目錄,通過操縱帶有“點(diǎn)-斜線(…)”序列及其變化的文件或使用絕對(duì)文件路徑來引用文件的變量,可以訪問存儲(chǔ)在文件系統(tǒng)上的任意文件和目錄,包括應(yīng)用程序源代碼、配置和關(guān)鍵系統(tǒng)文件。路徑遍歷攻擊,也稱為“點(diǎn)-點(diǎn)斜線”、“目錄遍歷”、“目錄爬升”和“回溯”。
許多功能都要求Web應(yīng)用程序根據(jù)用戶在請(qǐng)求中提交的參數(shù)向文件系統(tǒng)讀取或?qū)懭?a href="http://m.qzkangyuan.com/tag/%e6%95%b0%e6%8d%ae" target="_blank">數(shù)據(jù)。如果應(yīng)用程序使用用戶可控制的數(shù)據(jù)、以危險(xiǎn)的方式訪問位于應(yīng)用程序服務(wù)器或其他后端文件系統(tǒng)中的文件和目錄,就會(huì)出現(xiàn)路徑遍歷漏洞。攻擊者可利用這種漏洞讀取密碼和應(yīng)用程序日志之類的敏感數(shù)據(jù),并最終在服務(wù)器上執(zhí)行任何命令,或者重寫安全性至關(guān)重要的數(shù)據(jù)項(xiàng),如配置文件和軟件代碼。這種漏洞可使攻擊者能夠完全攻破應(yīng)用程序與基礎(chǔ)操作系統(tǒng)。路徑遍歷漏洞很難發(fā)現(xiàn),且Web應(yīng)用程序?qū)λ鼈儗?shí)施的防御也十分脆弱。
路徑遍歷攻擊針對(duì)Web root文件夾,訪問目標(biāo)文件夾外部的未授權(quán)文件或目錄。攻擊者試圖將移動(dòng)模式注入服務(wù)器目錄,以便向上爬升。成功的路徑遍歷攻擊能夠獲得網(wǎng)站訪問權(quán),染指配置文件、數(shù)據(jù)庫和同一實(shí)體服務(wù)器上的其他網(wǎng)站和文件。
路徑遍歷攻擊不常見,但也是Web應(yīng)用的一大威脅。網(wǎng)站能否抵御路徑遍歷攻擊取決于輸入凈化程度。這意味著保證用戶輸入安全,并且不能從服務(wù)器恢復(fù)出用戶輸入內(nèi)容。
了解更多服務(wù)器及資訊,請(qǐng)關(guān)注夢(mèng)飛科技官方網(wǎng)站 http://m.qzkangyuan.com/,感謝您的支持!
文章鏈接: http://m.qzkangyuan.com/12802.html
文章標(biāo)題:路徑遍歷
文章版權(quán):夢(mèng)飛科技所發(fā)布的內(nèi)容,部分為原創(chuàng)文章,轉(zhuǎn)載請(qǐng)注明來源,網(wǎng)絡(luò)轉(zhuǎn)載文章如有侵權(quán)請(qǐng)聯(lián)系我們!
