首页 互联前沿 Web在线 浏览内容

目录遍历攻击-Web应用

1396 0 BaiDu已收录 评论留言

除了Web应用的代码以外,Web服务器本身也有可能无法抵御目录遍历攻击。这有可能存在于Web服务器软件或是一些存放在服务器上的示例脚本中。

  在最近的Web服务器软件中,中国IT实验室这个问题已经得到了解决,但是在网上的很多Web服务器仍然使用着老版本的IIS和Apache,而它们则可能仍然无法抵御这类攻击。

  即使你使用了已经解决了这个漏洞的版本的Web服务器软件,你仍然可能会有一些对黑客来说是很明显的存有敏感缺省脚本的目录。

  例如,如下的一个URL请求,它使用了IIS的脚本目录来移动目录并执行指令:

  这个请求会返回C:目录下所有文件的列表,它使通过调用cmd.exe然后再用dir c:来实现的,%5c是web服务器的转换符,用来代表一些常见字符,这里表示的是“”

  新版本的Web服务器软件会检查这些转换符并限制它们通过,但对于一些老版本的服务器软件仍然存在这个问题。

  如何判断是否存在目录遍历漏洞?

  最好的方式就是使用Web漏洞扫描器,Web漏洞扫描器能够遍历你Web站点的所有目录以判断是否存在目录遍历漏洞,如果有它会报告该漏洞并给出解决的方法,除了目录遍历漏洞以外,Web应用扫描还能检查SQL注入、跨站点脚本攻击以及其他的漏洞。

标签:
墨月的头像
  • 本文由墨月网络整理编辑,转载请以链接形式注明本文地址:https://www.moyoo.net/11207.html
    版权所有© 墨月网络 | 本文采用 BY-NC-SA 进行授权丨发布于:2014-11-03 23:24
    若未注明,均为原创;部分内容源于网络,版权归原作者所有,如有侵权,请联系我们删除。
评论头像

关注我们,实时联系

AD

注册即送25美刀

Vultr

推广

Vultr

赞助商

广而告之

alimama