【常見Web應用安全問題】---4、Directory traversal

來源:互聯網
上載者:User

標籤:目錄   破壞   local   class   href   代碼執行   硬碟管理   路徑   ati   

Web應用程式的安全性問題依其存在的形勢劃分,種類繁多,這裡不準備介紹所有的,只介紹常見的一些。

 常見Web應用安全問題安全性問題的列表:

  1、跨站指令碼攻擊(CSS or XSS, Cross Site Scripting)
  2、SQL注入攻擊(SQL injection)
  3、遠程命令執行(Code execution,個人覺得譯成代碼執行並不確切)
  4、目錄遍曆(Directory traversal)
  5、檔案包含(File inclusion)
  6、指令碼代碼暴露(Script source code disclosure)
  7、Http要求標頭的額外的斷行符號分行符號注入(CRLF injection/HTTP response splitting)
  8、跨幀指令碼攻擊(Cross Frame Scripting)
  9、PHP代碼注入(PHP code injection)
  10、XPath injection
  11、Cookie篡改(Cookie manipulation)
  12、URL重新導向(URL redirection)
  13、Blind SQL/XPath injection for numeric/String inputs
  14、Google Hacking

 

 

 

 

目錄遍曆(Directory traversal)

  部分朋友應該知道之前我在我的blog裡公布了ah163.NET上的一個安全性漏洞,安全層級高:極度危險,由於我沒有公布細節,大家都比較好奇想知道是什麼。出於對同行的尊重我就刪除了漏洞公布這一欄的內容了。我已經通知ah163.Net的同行了,他們已經fix那個問題。

今天我們就講講這個漏洞。love.ah163.net上有網路硬碟服務,當註冊使用者登入並開通網路硬碟服務後,即可進入自己的硬碟管理介面,我們來看看它是如何進入某一個目錄的,以下是進入某一目錄的URL:  http://love.ah163.net/Personal_Spaces_List.php?dir=MyFolder

那現在我把這個URL改裝一下:http://love.ah163.net/Personal_Spaces_List.php?dir=../../../../../../../../../../../../../usr/local/apache/conf/

在瀏覽器裡運行它,會是什麼結果呢?結果是:/usr/local/apache/conf/裡的所有檔案都老老實實的列出來了,通過這種方式,你可以發揮你的想象了,伺服器上的東東是不是都差不多可以列出來了?告訴你,還可以隨便下載呢!網路硬碟嘛,就是用來上傳下載的,所以它提供的功能很完備,破壞性也就很強了。至於它的危害有多大,你自己想去吧,我就不危言聳聽了。

  簡要的解決方案:

1、同樣是限制Web應用在伺服器上的運行 

2、進行嚴格的輸入驗證,控制使用者輸入非法路徑

 

本文來自:http://blog.csdn.net/iwebsecurity/article/details/1693877

 

【常見Web應用安全問題】---4、Directory traversal

聯繫我們

該頁面正文內容均來源於網絡整理,並不代表阿里雲官方的觀點,該頁面所提到的產品和服務也與阿里云無關,如果該頁面內容對您造成了困擾,歡迎寫郵件給我們,收到郵件我們將在5個工作日內處理。

如果您發現本社區中有涉嫌抄襲的內容,歡迎發送郵件至: info-contact@alibabacloud.com 進行舉報並提供相關證據,工作人員會在 5 個工作天內聯絡您,一經查實,本站將立刻刪除涉嫌侵權內容。

A Free Trial That Lets You Build Big!

Start building with 50+ products and up to 12 months usage for Elastic Compute Service

  • Sales Support

    1 on 1 presale consultation

  • After-Sales Support

    24/7 Technical Support 6 Free Tickets per Quarter Faster Response

  • Alibaba Cloud offers highly flexible support services tailored to meet your exact needs.