漏洞系列之——目录遍历

漏洞描述

目录遍历漏洞针对Windows IIS和Apache的一种常见攻击方法，目录遍历漏洞可能存在于Web服务器软件本身，也可能存在于Web应用程序之中。目录遍历攻击比较容易掌握，要执行一个目录遍历攻击，攻击者所需要的只是一个web浏览器，并且掌握一些关于系统的缺省文件和目录所存在的位置的知识即可。通过使用 …/ 等目录控制序列或者文件的绝对路径来访问存储在文件系统上的任意文件和目录，特别是应用程序源代码、配置文件、重要的系统文件等。

漏洞等级

中危

漏洞危害

可以使攻击者任意读取、下载、查看服务器的文件

漏洞检测方法

手工检测

漏洞攻击方式

直接访问想要访问的文件

…/
…\
…;/

漏洞修复方案

在进行文件操作相关的API前，应该对用户输入做过滤。较强的规则下可以使用白名单，仅允许纯字母或数字字符等。

若规则允许的字符较多，最好使用当前操作系统路径规范化函数规范化路径后，进行过滤，最后再进行相关调用。

1、系统开发阶段的防御
在系统开发阶段应充分考虑系统的安全性，对目录遍历漏洞来说，需对用户提交的内容进行严格的过滤，这里主要指过滤目录跳转符，字符截断符，dir命令等。

2、系统运行阶段的防御
系统运维人员需有强烈的安全意识，他们的一举一动都会影响用户的个人隐私信息安全。对系统运维人员来说，部署新的业务系统或者安装新的软件或应用后应通过web扫描工具积极查找系统是否存在目录遍历漏洞，尽可能不要在服务器上安装与业务不相关的第三方软件以避免引入目录遍历漏洞。除此之外，还应该合理配置web服务器（禁止目录浏览，分配好目录权限等）并积极关注所使用的各种软件和应用的版本发布情况，及时升级新的软件版本。

3、安全设备的防御
进行目录遍历攻击时，攻击者基本都会使用目录跳转符，同时可能配合使用字符截断符，dir命令等。对专业的安全设备来说通过检测特定语法下的目录跳转符，字符截断符，以及与查看目录相关的命令即可识别各种目录遍历攻击。部署专业的安全设备不仅可以很好的保护业务系统自身的目录遍历漏洞，同时还能防御web服务器和服务器上其他非业务相关的第三方应用漏洞引发的目录遍历攻击。