网站路径遍历漏洞修复

1. 前言

        在当今的网络安全环境中，路径遍历漏洞（Path Traversal Vulnerability）成为日益关注的问题。此漏洞允许攻击者通过操控输入路径，访问未经授权的服务器文件，从而泄露敏感信息或执行恶意文件。本文将借助一次渗透测试修复的过程有效防止和修复此类漏洞，提升应用程序的整体安全性。

2. 背景

        某次渗透测试中发现某网站存在路径遍历漏洞

        如果用户输入以下URL，会出现日志文件列表

http://*********.com.cn:8000/logs/

        当然，可以显示当然目录的路径还很多。

3.简单修复方法

        采用 “修改tomcat中web.xml文件中的listing参数值，改为false”的修复方法可以不显示文件列表。

        在Tomcat的web.xml文件中，将 <init-param> 元素的 listing 参数值设置为 false 用于关闭目录列表功能。这意味着当客户端请求一个目录而不是一个具体的文件时，服务器不会返回一个包含该目录下所有文件和子目录的列表。

        具体作用是禁用目录浏览，以增强Web应用的安全性，防止敏感文件或目录被暴露。

        这里是如何修改 web.xml 文件中的 listing 参数的例子：

1. 打开 web.xml 文件，通常位于 Tomcat 安装目录下的 conf 文件夹中。
2. 找到或添加与 DefaultServlet 相关的 <servlet> 元素。

<servlet>
    <servlet-name>default</servlet-name>
    <servlet-class>org.apache.catalina.servlets.DefaultServlet</servlet-class>
    <init-param>
        <param-name>listing</param-name>
        <param-value>false</param-value>
    </init-param>
    ...
</servlet>

这段配置的含义如下：

• <servlet-name>: 定义了这个 servlet 实例的名称。
• <servlet-class>: 定义了这个 servlet 的类名。
• <init-param>: 设置了 servlet 的初始化参数。
  • <param-name> 为 listing，该参数用于控制是否启用目录列表功能。
  • <param-value> 为 false，关闭目录列表功能。

        保存文件后，重新启动 Tomcat 服务器，这样当客户端请求一个目录时，不会返回目录列表，从而提高了服务器的安全性，防止不必要的信息泄露。

4.修复方法不足

        将 web.xml 文件中的 listing 参数值设置为 false 确实是一个关闭目录列表功能的有效方法，这有助于防止暴露服务器上的目录结构和文件信息，从而减小被利用的风险。但请注意，这仅仅是防止信息泄露的一部分措施，而并不是解决路径遍历漏洞的根本方法。

5.推荐修复方式

        为了更全面地防止路径遍历漏洞（Path Traversal Vulnerabilities），通常还需做以下措施：

1. 验证和清理用户输入 确保用户输入的数据不会直接用于构建文件路径，或者要对用户输入进行严格的验证和清理，移除或转义 ..、../ 等路径遍历字符。

   • 例如，在接收到一个路径参数后，移除路径中的 ../：

   String inputPath = request.getParameter("path"); 
   inputPath = inputPath.replaceAll("([/\\\\]..[/\\\\])|([/\\\\]..?$)", "");
   

2. 限制文件访问范围 使用一个固定的基目录，并确保所有路径访问都在该基目录下进行。例如，强制所有文件引用都以基目录起始：

   File baseDir = new File("/var/www/htdocs/ueditor"); 
   File file = new File(baseDir, inputPath).getCanonicalFile();
   if (!file.getPath().startsWith(baseDir.getPath())) {
       throw new IOException("非法访问: 试图越过基目录");
   }
   

3. 应用访问控制 设置服务器的文件系统权限，以确保Web服务器只能访问特定的目录和文件。确保在Web应用的根目录下面不存储任何敏感文件。

        综上所述，虽然设置 listing 参数值为 false 可以防止目录列表暴露，但更全面的路径遍历漏洞的防护措施还需结合上面提到的多种方法。这样才能最大限度地保证Web应用的安全性。

        此外，确保对web应用的所有公开输入进行严格控制和验证，尤其是涉及文件路径和文件名的输入，这样能有效防止路径遍历漏洞被利用。

6.最后

        路径遍历漏洞的预防需要从输入验证、路径限制及权限管理等多重维度来进行防护。确保你的应用在这一方面的整体防护措施是完备的。