漏洞描述
目录遍历漏洞,就是攻击者通过某种手段,可以访问到Web 根目录之外的资源,包括系统敏感文件,其他网站敏感文件等,甚至可以执行系统命令。
我们人为上述情况,存在目录遍历漏洞。
漏洞场景
攻击者通过Web 方式,http 协议,可以访问/etc/passwd 文件。
漏洞原理
- 组件问题,Apache httpd 目录遍历漏洞。
- 代码问题,存在文件读取代码功能,文件路径客户端可控。
- ...
风险等级
高危
漏洞危害
- 敏感文件读取
- 执行系统命令
漏洞验证
漏洞利用
略
防御方法
略