網路安全系列之三十六目錄遍歷攻擊
目錄遍歷攻擊又稱目錄穿越、惡意瀏覽、檔案洩露等,攻擊者利用系統漏洞訪問合法應用之外的資料或檔案目錄,導致資料洩露或被篡改。
比如我們之前一直使用的Web伺服器平臺NMPServer,它的網站主目錄為C:NMPServerNPMservwww,理論上講網站的所有內容都應該位於這個主目錄裡,即使內容位於別的位置,也應該採用虛擬目錄的形式將之連結到主目錄中。作為客戶端,當然也只能訪問主目錄中的內容。但是如果網站存在漏洞,那麼客戶端就可以突破主目錄的限制,而去訪問其他目錄中(比如C:Windows)的內容,這也就是所謂的目錄遍歷攻擊。
最常見的目錄遍歷攻擊就是利用“雙句點代表父目錄”機制進行攻擊。比如我們之前在遠端檔案包含攻擊中所做的測試網頁test.php,在這個網頁中就存在有目錄遍歷漏洞:
在客戶端可以通過下面的形式進行目錄遍歷攻擊,可以看到直接開啟了伺服器上的C:Windowssystem.ini檔案。
URL中比較重要的部分就是“file=../../../windows/system.ini”,“../”代表上一級的父目錄,因而“../../../”就表示從網站主目錄中向上退了3級,網站的主目錄是C:NMPServerNPMservwww,因而“../../../”就是退到了C盤根目錄。在攻擊過程中,黑客並不清楚網站的主目錄位置,但是隻要通過簡單的測試就可以推斷出結果。
因而,通過目錄遍歷攻擊,黑客就可以突破網站主目錄的限制,而去訪問伺服器上的敏感檔案。
本文轉自 yttitan 51CTO部落格,原文連結:http://blog.51cto.com/yttitan/1576526
相關文章
- 網路安全中的目錄遍歷指什麼?
- 網路安全學習階段性總結:SQL隱碼攻擊|SSRF攻擊|OS命令注入|身份驗證漏洞|事物邏輯漏洞|目錄遍歷漏洞SQL
- 懂你網路系列10之網路安全中的CSRF攻擊
- Windows 上的目錄遍歷攻擊原理與其他作業系統類似,攻擊者試圖透過輸入特定的檔案路徑來訪問系統中未授權的檔案或目錄。以下是目錄遍歷攻擊在 Windows 系統中的一般原理:Windows作業系統
- 什麼是目錄遍歷?
- 【網路安全分享】APT攻擊常用的4種攻擊手段!APT
- 遍歷目錄下的所有檔案
- 什麼是CC攻擊?CC攻擊型別【網路安全教程】型別
- 網路攻擊
- 目錄遍歷-基於Pikachu的學習
- 【網路安全知識】網路安全需注意攻擊型別有哪些型別
- 網路安全中攻擊溯源有哪些方法?
- 網路安全DOS攻擊有什麼方式
- 【網路安全】如何有效地防禦DDOS攻擊和CC攻擊?
- 【網路安全】7種網路攻擊手段,你知道幾個?
- 【網路安全知識】DDOS攻擊和CC攻擊有什麼區別?
- golang對遍歷目錄操作的最佳化Golang
- 網路安全中*具威脅的攻擊方式!
- 三種使用AI攻擊網路安全的方法AI
- 網路安全——常見的幾種WEB攻擊:Web
- 【論文】網路安全與入門-ARP攻擊
- 瞭解常見網路攻擊方式,做好網路安全防範!
- 網路安全中主動攻擊、被動攻擊分別是什麼意思?
- 【網路安全入門知識】如何有效防禦DDoS攻擊和CC攻擊?
- 攻擊面管理預防網路攻擊原理?
- Godot遍歷目錄下檔案,並建立按鈕Go
- [計算機網路]網路攻擊計算機網路
- 如何防禦DDoS攻擊?學習網路安全多久?
- 【安全研究】Domain fronting域名前置網路攻擊技術AI
- 網路安全的關鍵:預防零日攻擊
- 網路攻擊肆虐,高校如何構築網路安全屏障?
- 網路釣魚攻擊
- 網路攻擊泛談
- Linux安全之三大攻擊(SYN,DDOS,CC)原理及處理Linux
- 什麼是網路攻擊?常見的網路攻擊手段有哪些?
- 【網路安全】什麼是SQL隱碼攻擊漏洞?SQL隱碼攻擊的特點!SQL
- 北京健康寶遭到境外網路攻擊,再次敲響網路安全警鐘
- 記錄遍歷方法
- 網路安全中ARP攻擊最常見的七種方法!