相對路徑遍歷Relative Path Traversal

原創 加班狂魔 2018-09-04 21:06

http://cwe.mitre.org/data/definitions/23.html 這個裏面關於這個問題描述的很清楚。

爲了防止利用諸如下列網址的攻擊

http://example.com.br/get-files?file=report.pdf

http://example.com.br/get-files?file=../../../../etc/passwd

例如上面的URL,本意是想請求一個PDF,但是實際上卻提供了一個可以遍歷文件夾的漏洞,這個漏洞的後果就是你etc/passwd裏面所有的東西全都列了出來

所以,在使用相對路徑的時候,過濾掉文件路徑中的../../是否常有必要的。

例如JAVA中的getCanonicalpath

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

MySQL注入技巧性研究

0x00 前言MySQL是一個關係型數據庫管理系統,由瑞典MySQL AB 公司開發,目前屬於 Oracle 旗下產品。MySQL 是最流行的關係型數據庫管理系統之一,本人最近針對MySQL注入做了一下研究,針對一些注入技巧進行了分析,本

i春秋论坛 2020-07-07 05:14:23

i春秋在線挑戰詳細攻略-《你是會員嗎》

試驗地址:http://www.ichunqiu.com/racing/54399 實驗平臺:i春秋 Step 0 實驗環境 操作機:Windows XP [172.16.11.2] 目標網址:www.test.ichunqiu  [

i春秋论坛 2020-07-07 05:14:23

MySQL注入技巧性研究

0x00 前言MySQL是一個關係型數據庫管理系統,由瑞典MySQL AB 公司開發,目前屬於 Oracle 旗下產品。MySQL 是最流行的關係型數據庫管理系統之一,本人最近針對MySQL注入做了一下研究,針對一些注入技巧進行了分析,本

i春秋论坛 2020-07-07 05:14:23

WEB程序防SQL注入攻擊程序

場景: WEB程序容易被SQL注入攻擊,攻擊原理是在請求參數中傳入非法字符,造成SQL語句出現出現異常情況,已達到攻擊者想要的結果。 分析: 一般的攻擊者都是在傳入的請求參數上做文章,所以我們重點檢查的是request的參數,判斷requ

成都好男人 2020-07-06 07:55:56

網站安全等級保護制度到底是什麼

隨着時間推移《網絡安全法》的施行,網絡環境早已變成繼“海、陸、空、天”以後的第五個國家安全方面。與此同時網絡安全法明確了國家實行網絡信息安全等級保護測評規章制度以保證在我國網絡環境的安全可靠。網絡信息安全等級保護測評規章制度在我們國家經過

websinesafe 2020-07-02 13:17:33

網站數據如何才安全-雲端備份

很多站長手裏都有幾個網站或一些重要的企業站等,站長在學習做網站時很多老師或教材都會說到網站數據的備份重要性,尤其是當下互聯網安全意識增強,網站的數據安全是重中之重。 很多站長肯定會使用一些手動或簡單定時備份的工具備份到自己的服務

jenkinsli 2020-06-27 04:36:53

xss注入小例子

const httpManager = require('http'); const mysql = require('mysql'); // const urlManager = require('url'); var expre

Sakura__Lu 2020-06-25 04:07:18

我們來做一個不可破解的驗證碼

如果你因爲網站數據一直被爬,如果你因爲活動一直被刷,如果你的短信通道被當成人肉炸彈,如果你的論壇被機器人野蠻刷帖,如果你的賬戶系統一直被暴力破解,如果你用了各種驗證碼包括極驗也根本沒用,你可以來這裏瞭解一下 https://yuan.sh

宁无竹 2020-06-22 13:14:49

安全設計--CSRF跨站僞造

概念 定義 CSRF跨站點請求僞造(Cross—Site Request Forgery):顧名思義,攻擊者僞造用戶請求請求服務端,但並非在官方站點發起,而是攻擊者的站點,或者攻擊者的腳本。而服務器認爲卻是合法的,有點借刀殺人的

yanbincn 2020-06-19 18:22:18

web-security第二期:Spring Security 框架概覽

閱讀本文之前,我默認您已經掌握 spring-web spring-boot 的基礎知識 本文的編寫依據是  Spring Security 官方文檔 Spring Security 是一個安全框架,前身是 Acegi Security,

秋.凝 2020-06-16 01:41:08

織夢DEDECMS安全防護設置及漏洞修復

一、程序一定要從織夢官網下載,其他地方下載的不能保證安全。 二、下載後的程序在正常運行後,要刪除下列文件夾(根據你的需要選擇刪除)。 member 會員文件夾整個刪除 special 專題文件夾整個刪除 install 安裝文件夾

丈哥SEO 2020-06-15 09:18:25

[網站安全]ngiinx設置如何屏蔽ip訪問網站

打開nginx配置文件,目錄一般爲/etc/nginx/sites-available sudo vi default進入 # 屏蔽ip訪問  注意是下面是隻對80端口生效 server {         listen 80 defau

大白白白白白白 2020-06-15 02:05:45

node中常用的幾大模塊

       最近一段時間工作不是很忙,抽空學習了一下node相關的知識,打算接下來學習一下VUE框架,配合VUE框架做一個小Demo。下面是小編總結的node中幾個常用的模塊。 Node中的模塊分爲三種類型: node天生自帶的模塊(核

青春微凉不悲伤 2020-06-14 09:44:41

Activex打包於發佈完整版---ActiveX打包

前面介紹了數字證書的原理與製作:http://blog.csdn.net/jiangtongcn/article/details/13508365,下面來看一下ActiveX組件的打包。 我現在有一個ActiveX組件:fq.ocx,目的

jiangtongcn 2020-06-13 07:39:30

Activex打包於發佈完整版---微軟證書製作

        衆所周知,Activex組件沒有進行有效的簽名,在IE上無法安裝的,除非你讓用戶手工開啓“接收任何未簽名的ActiveX”,這個很明顯不現實。而組件簽名需要證書,證書從哪裏來,你可以選擇付1000到3000元不等在專門的機

jiangtongcn 2020-06-13 07:39:30