目录遍历漏洞原理、解决方案

已于 2023-04-08 14:55:49 修改
阅读量8.9k 收藏 10
点赞数 2
分类专栏: web安全 文章标签: 安全 web安全
于 2022-11-22 23:02:11 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37432174/article/details/127991875
版权

一、目录遍历漏洞

目录遍历(路径遍历)是由于web服务器或者web应用程序对用户输入的文件名称的安全性验证不足而导致的一种安全漏洞,使得攻击者通过利用一些特殊字符就可以绕过服务器的安全限制,访问任意的文件(可以使web根目录以外的文件),甚至执行系统命令。

存在的危害
  • 读取的文件可能包括应用程序代码和数据、后端系统的凭据以及敏感的操作系统文件等。
  • 在某些情况下,攻击者可能能够写入服务器上的任意文件,从而允许他们修改应用程序数据或行为,并最终完全控制服务器
原理

程序在实现上没有充分过滤用户输入的…/之类的目录跳转符,导致恶意用户可以通过提交目录跳转来遍历服务器上的任意文件。

二、防御方案

  • 对用户的输入进行验证,特别是路径替代字符如“…/”和“~/”。
    获取文件路径,过滤文件路径参数,如…/ 、 …\ 、 ./ 等跳转路径
  • 尽可能采用白名单的形式,验证所有的输入。
    对文件后缀白名单校验:
    图片类型 .jpg .png .gif .jpeg .dwg
    文档类型 .doc .docx .ppt .pptx .xls .xlsx .pdf
  • 合理配置Web服务器的目录权限。
  • 当程序出错时,不要显示内部相关配置细节。
  • 对用户传过来的文件名参数进行统一编码,对包含恶意字符或者空字符的参数进行拒绝。
  • 对上传文件校验文件大小
  • 对上传文件重命名
  • 获取文件路径,判断是否在预期目录
  • 对客户端不直接暴露路径,使用文件ID代替文件名和文件路径

例如
可以修改tomcat的web.xml配置文件

tomcat 的web.xml 配置文件中有一个属性值 listing (Directory Listing),这个属性值是控制是否展示虚拟目录;

在这里插入图片描述

三、自查项

  • 业务功能是否有文件上传和导入场景,如上传头像、上传附件、上传图片等
  • 业务功能是否有文件下载、文件删除、文件解压、文件导出场景
  • 搜索Java代码中涉及MultipartFile、File、FileUpload、FileUtil等类
  • 检查是否对传入路径做安全校验
  • 检查上传功能是否校验文件大小
  • 检查上传功能是否校验文件后缀
  • 检查上传功能是否直接使用参数中的原文件名
  • 检查上传功能是否校验是否有本地临时文件
  • 检查上传功能是否校验是否存储在本地目录
  • 使用文件操作API,是否忽略返回值
  • 程序结束是否删除临时文件
偷偷学习被我发现
关注
  • 2
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
目录遍历漏洞
L_lemo004的博客
09-22 1653
文章目录目录遍历概念漏洞成因漏洞利用二、目录遍历漏洞第二种情况应用程序操作文件,限制不严时导致访问Web目录以外的文件,包括读写文件和远程执行代码特征测试方法绕过字符过滤利用DVWA进行漏洞测试利用远程文件包含漏洞代码执行权限配置不当引起的本地文件包含漏洞防御措施 目录遍历 概念 目录遍历是由于web服务器或者web应用程序对用户输入的文件名称的安全性验证不足而导致的一种安全漏洞,使得攻击者通过利用一些特殊字符就可以绕过服务器的安全限制,访问任意的文件(可以是web目录以外的文件),甚至执行系统命令。
WebReport
03-16
WebReport 是一个与网络...综上所述,WebReport是一个基于JavaScript的网络报告解决方案,它利用JavaScript的强大功能,实现了数据处理、可视化和用户交互,为用户提供了一种高效、灵活的方式来创建和分享网络报告。
目录穿越/遍历漏洞及对其防御方法的绕过
2301_77004573的博客
04-30 4151
目录穿越(目录遍历)是一个Web安全漏洞,攻击者可以利用该漏洞读取运行应用程序的服务器上的任意文件。这可能包括应用程序代码和数据,后端系统的登录信息以及敏感的操作系统文件。目录穿越不仅可以访问服务器中的任何目录,还可以访问服务器中任何文件的内容。例如,攻击者通过浏览器访问…/…/…/…/…/…/…/…/…/…/…/…/…/…/etc/passwd(此处较多…/),就可以读取Linux服务器根目录下的etc目录下的passwd文件的内容。
web渗透测试----6、目录遍历漏洞
七天
12-24 1866
文章目录一、目录遍历漏洞原理二、漏洞示例三、常见绕过四、绕过防御示例1、未进行任何防御2、双写进行绕过3、利用编码进行绕过4、利用%00截断后缀绕过5、利用文件路径绕过五、漏洞防御 一、目录遍历漏洞原理 目录遍历漏洞通过操纵引用带有“点-点-斜杠(…/)”序列及其变体的变量或使用绝对路径,攻击者可以读取运行在服务器上的任意文件,包括应用程序代码和数据、后端系统的凭据以及敏感的操作系统文件。在某些情况下,攻击者能够向服务器写入任意文件,从而允许他们修改应用程序数据或行为,并最终完全控制服务器。 二、漏洞
Java代码审计之目录遍历漏洞详解
m0_71745754的博客
01-13 5444
通过用户输入,后端接收到参数直接拼接到指定路径下读取用户的文件名,看似正常,但是用户输入的参数不可控制,黑客将非法的特殊字符作为文件名的一部分,操作到其他路径下,甚至是跳转到服务器敏感目录,读取敏感的配置文件,例如服务器的密码文件,程序数据库,redis等核心配置文件,因此具有一定的风险;
修复路径穿越、任意文件写入漏洞
InterestAndFun的博客
02-23 7063
前段时间随手写的一个文件上传服务,在公司的渗透测试下漏洞百出,其中少不了路径穿越和任意文件写入漏洞。其实这两个漏洞的修复并不复杂,只要对入参进行两个条件的校验就可以了。
artDialog修改bug
04-13
文件可能包含了他在修复bug过程中的代码片段、错误日志以及解决方案。通过阅读这个文件,我们可以学习到如何定位问题、分析错误日志,以及如何根据错误信息进行调试和修复。 总的来说,解决artDialog的bug需要深入...
web常见漏洞思维导图.rar
03-04
7. 目录遍历:攻击者尝试通过构造特定的URL,遍历服务器上的目录结构,获取敏感文件。通过严格限制目录访问和使用安全的文件系统设置可以避免。 8. 代码注入:攻击者将恶意代码注入到应用程序中,导致程序执行非...
基于爬虫的web漏洞扫描器.zip
最新发布
04-08
"项目源码"意味着我们可以深入研究其内部工作原理,包括爬虫如何遍历网站,发现并报告漏洞。"项目说明"可能包含了安装指南、使用方法以及可能遇到的问题解决方案。"用于演示的图片和部署教程"是额外的学习资源,帮助...
IntelliTamper.zip 网站文件/目录扫描工具
09-03
用户在遇到使用困难时,应查阅此文件以获取解决方案。 3. **readme.txt**:标准的软件文档,通常包含版本信息、更新日志或者开发者的信息。用户可以从中了解软件的最新状态和更新情况。 4. **黑白网络.url**:这...
11-1目录遍历和敏感信息泄露原理及案例演示
山兔的博客
05-14 1737
目录遍历漏洞概述 在web功能设计中,很多时候我们会要将需要访问的文件定义成变量,从而让前端的功能变的更加灵活。 当用户发起一个前端的请求时,便会将请求的这个文件的值(比如文件名称)传递到后台,后台再执行其对应的文件。 在这个过程中,如果后台没有对前端传进来的值进行严格的安全考虑,则攻击者可能会通过“../”这样的手段让后台打开或者执行一些其他的文件。 从而导致后台服务器上其他目录的文件结果被遍历出来,形成目录遍历漏洞。 ​ 看到这里,你可能会觉得目录遍历漏洞和不安全的文件下载,甚至文件包含漏洞有差
GitLab 目录遍历漏洞复现(CVE-2023-2825)
qq_34914659的博客
05-30 2066
漏洞存在于GitLab CE/EE版本16.0.0中,当嵌套在至少五个组中的公共项目中存在附件时,可在未经身份验证的情况下通过uploads功能遍历读取任意文件,导致敏感信息泄露。GitLab是一个用于仓库管理系统的开源项目,其使用Git作为代码管理工具,可通过Web界面访问公开或私人项目。社区版(CE)和企业版(EE)的 16.0.0 版本,其它更早的版本几乎都不受影响。1.需要一个嵌套五层以上可公开访问到的group 组并添加项目。步骤四:项目添加完成,添加评论。步骤五:测试访问上传的文件。
Web漏洞探索】目录遍历漏洞
kjcxmx的博客
07-01 1812
目录遍历Directory traversal(也称文件路径遍历目录穿越、路径遍历、路径穿越)是一种允许攻击者在未授权的状态下读取应用服务上任意文件的安全漏洞。这包括应用代码、数据、凭证以及操作系统的敏感文件。在有些情况下,攻击者还可能对服务器里的文件进行任意写入,更改应用数据甚至完全控制服务器。程序系统在实现上没有过滤用户输入的…/之类的目录跳转符,允许攻击者通过提交目录跳转符来遍历服务器上的任意文件。 比如: 当服务器处理传送过来的image1.jpg文件名后,Web应用程序会自动添加完整的路径,比如
Tomcat 漏洞修复建议
zzuwyw的博客
06-23 2130
Tomcat 漏洞修复建议Tomcat进程运行权限检测访问控制总结 Tomcat进程运行权限检测访问控制 描述 在运行Internet服务时,最好尽可能避免使用root用户运行,降低攻击者拿到服务器控制权限的机会。 加固建议 创建低权限的账号运行Tomcat,操作步骤如下: ?--新增tomcat用户 useradd tomcat --将tomcat目录owner改为tomcat chown -R tomcat:tomcat /opt/tomcat -- 停止原来的tomcat服务 --切换到tomcat
arcgis目录遍历漏洞的解决方法
06-07
ArcGIS中存在目录遍历漏洞,攻击者可以利用该漏洞获取未授权的文件或目录,进而导致敏感信息泄露。要解决这个漏洞,可以采取以下措施: 1. 更新ArcGIS到最新版本,最新版本已经修复了该漏洞。 2. 如果无法更新到最新版本,可以通过修改web.config文件的方式来修复漏洞。具体方法是在web.config文件中添加如下代码: ``` <system.webServer> <security> <requestFiltering> <hiddenSegments> <add segment="arcgisoutput" /> </hiddenSegments> </requestFiltering> </security> </system.webServer> ``` 这个代码可以防止攻击者通过目录遍历获取arcgisoutput目录下的文件。 3. 另外,还可以通过Web服务器的配置来限制访问,例如只允许特定IP地址或特定用户访问ArcGIS服务,从而增强安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

偷偷学习被我发现

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值