web安全之目录/文件攻击--目录穿越攻击 (web安全) 20140318

一  定义

攻击者在web根目录以外的文件夹里,任意存取被限制的文件夹,执行命令,或查找数据。


二 攻击方法

先看一段代码(路径不准确,主要是讲解攻击方法)


<?php
    if(isset($_GET["file"])){
        @readfile("home/".$_GET["file"]);
    }
?>

如果输入url:  http://localhost/test.php?file=../../access.log


那么readfile函数路径为apache的日志目录,攻击者查看日志,获取信息,进行攻击


三 防范手法

连载中……

web安全之目录/文件攻击--目录穿越攻击 (web安全) 20140318,古老的榕树,5-wow.com

郑重声明:本站内容如果来自互联网及其他传播媒体,其版权均属原媒体及文章作者所有。转载目的在于传递更多信息及用于网络分享,并不代表本站赞同其观点和对其真实性负责,也不构成任何其他建议。