记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

浅析路径遍历漏洞

许多的Web应用程序一般会有对服务器的文件读取查看的功能,大多会用到提交的参数来指明文件名,形如:http://www.nuanyue.com/getfile=image.jgp 当服务器处理传送过来的image.jpg文件名后,Web应用程序即会自动添加完整路径,形如“d://site/images /image.jpg”,将读取的内容返回给访问者。 初看,在只是文件交互的一种简单的过程,但是由于文件名可以任意更改而服务器支持“~/”,“/..”等特殊符号的目录回溯,从而使攻击者越权访问 或者覆盖敏感数据,如网站的配置文件、系统的核心文件,这样的缺陷被命名为路径遍历漏洞。
发布时间:2013-10-29 15:45 | 阅读:100012 | 评论:0 | 标签:渗透测试 路径遍历 漏洞

ADS

标签云