什么是目錄遍歷攻擊及如何防護
什么是目錄遍歷攻擊及如何防護
一、攻擊方法��。攻擊者通過訪問根目錄�����,發(fā)送一系列的字符來遍歷高層目錄,并且可以執(zhí)行系統(tǒng)命令����,甚至使系統(tǒng)崩潰。二��、防護方法�����。凈化數(shù)據(jù):對用戶傳過來的文件名參數(shù)進行硬編碼或統(tǒng)一編碼���,對文件類型進行白名單控制�����,對包含惡意字符或者空字符的參數(shù)進行拒絕���;web應(yīng)用程序可以使用chrooted環(huán)境包含被訪問的web目錄,或者使用絕對路徑加參數(shù)來訪問文件目錄���,時使其即使越權(quán)也在訪問目錄之內(nèi)�。
導(dǎo)讀一、攻擊方法���。攻擊者通過訪問根目錄�����,發(fā)送一系列的字符來遍歷高層目錄�,并且可以執(zhí)行系統(tǒng)命令�,甚至使系統(tǒng)崩潰�。二、防護方法����。凈化數(shù)據(jù):對用戶傳過來的文件名參數(shù)進行硬編碼或統(tǒng)一編碼,對文件類型進行白名單控制��,對包含惡意字符或者空字符的參數(shù)進行拒絕��;web應(yīng)用程序可以使用chrooted環(huán)境包含被訪問的web目錄��,或者使用絕對路徑加參數(shù)來訪問文件目錄���,時使其即使越權(quán)也在訪問目錄之內(nèi)����。
一、攻擊方法:
攻擊者通過訪問根目錄���,發(fā)送一系列的字符來遍歷高層目錄��,并且可以執(zhí)行系統(tǒng)命令��,甚至使系統(tǒng)崩潰����;
二��、防護方法:
凈化數(shù)據(jù):對用戶傳過來的文件名參數(shù)進行硬編碼或統(tǒng)一編碼���,對文件類型進行白名單控制�,對包含惡意字符或者空字符的參數(shù)進行拒絕�;web應(yīng)用程序可以使用chrooted環(huán)境包含被訪問的web目錄,或者使用絕對路徑加參數(shù)來訪問文件目錄���,時使其即使越權(quán)也在訪問目錄之內(nèi)��。
什么是目錄遍歷攻擊及如何防護
一��、攻擊方法��。攻擊者通過訪問根目錄�����,發(fā)送一系列的字符來遍歷高層目錄��,并且可以執(zhí)行系統(tǒng)命令���,甚至使系統(tǒng)崩潰���。二��、防護方法�����。凈化數(shù)據(jù):對用戶傳過來的文件名參數(shù)進行硬編碼或統(tǒng)一編碼�,對文件類型進行白名單控制,對包含惡意字符或者空字符的參數(shù)進行拒絕����;web應(yīng)用程序可以使用chrooted環(huán)境包含被訪問的web目錄�����,或者使用絕對路徑加參數(shù)來訪問文件目錄�����,時使其即使越權(quán)也在訪問目錄之內(nèi)���。
為你推薦
科技
