济南网站建设,网站运营维护,网站优化
网站维护您当前的位置:智达维网络科技 > 网站维护 >

目录遍历漏洞——暴露敏感文件信息

更新时间:2018-11-27 09:42:28 作者:智达维建站 访问量:32

目录遍历漏洞——暴露敏感文件信息
目录遍历漏洞——暴露敏感文件信息
    严格而言,“目录遍历”并不是一个系统漏洞,它只是网站管理员对于相关的文件目录权限设置过高而引起的。但是,如果一个网站由于在不经意间存在着目录遍历漏洞的话,黑客就会很容易通过在网站的各级目录间的跳转来寻找敏感文件(如图1 所示),像数据库连接文件conn.asp(或者是config.asp 等配置文件)中就会保存有网站的数据库名称、路径、登录账号和密码等核心信息,甚至是整个网站的备份压缩数据包都有可能被下载。
    虽说这是个已经出现了近二十年的老“漏洞”,但时至今日在互联网上仍存在着许多如此低权限设置的网站,比如在 Google 中构造“intext:to parent directory”(转到父目录)进行搜索的话,很快就会有几千万的漏洞网站链接出现(如图2 所示)!其特点是都带有“To Parent Directory”的字样,点击打开后一般都能进行目录文件的浏览和下载操作,网站的敏感信息很容易被窥探到,危险性极大。
    [漏洞预防措施]对Web 服务器上的目录文件进行正确的访问权限设置,权限越低,其安全性就越高(可能会“牺牲”一定的操作便利性);另外,还要注意禁止将访问者提交的参数作为文件名使用,特别是要检验那些含“/”、“./”和“..\”字符的特殊意义的目录路径,最好是将打开文件的操作都限制在某个固定目录以便于查看和管理。
    文章说明:本站发布的所有文章,版权均属于智达维网络科技。如需转载、摘编或其它方式使用上述作品,请注明“转载自:智达维网络科技”,谢谢您的浏览!本站专注:网站维护网站建设
相关推荐

热线:0531-87583458 电话:0531-66812586 QQ:2676834962
Copyright 智达维网络科技 版权所有
ICP备案编号:鲁ICP备11034527号-1 鲁公网安备 37010402000703号

扫二维码加微信咨询

拨打客服热线

0531-87583458

在线客服