漏洞名称 | 任意文件下载 |
漏洞描述 | 目录遍历(任意文件下载)漏洞不同于网站目录浏览,此漏洞不仅仅可遍历系统下web中的文件,而且可以浏览或者下载到系统中的文件,攻击人员通过目录遍历攻击可以获取系统文件及服务器的配置文件等等。一般来说,他们利用服务器API、文件标准权限进行攻击。严格来说,目录遍历攻击并不是一种web漏洞,而是网站设计人员的设计“漏洞”。如果web设计者设计的web内容没有恰当的访问控制,允许http遍历,攻击者就可以访问受限的目录,并可以在web根目录以外执行命令。 |
漏洞等级 | 高危 |
检测条件 | 网站URL中存在下载参数,并且未进行过滤../../../字符 |
检测方法 | 通过web漏洞扫描工具对网站实施扫描可能发现目录遍历或者任意文件下载漏洞,发送一系列”../”字符来遍历高层目录,并且尝试找到系统的配置文件或者系统中存在的敏感文件。 2、 也可通过判断网站语言,并根据其url中部分提供的参数,进行构造相关的路径信息,如收集到网站中间件版本为apache,则想办法构造../../../ WEB-INF/web.xml等,然后查看其是否可被下载出来。随后可构造下载系统文件。 |
修复方案 | 对文件操作功能,做到以下几点: 1,要下载的文件地址保存至数据库中。 2,文件路径保存至数据库,让用户提交文件对应ID下载文件。 3,下载文件之前做权限判断。 4,文件放在web无法直接访问的目录下。 5,记录文件下载日志(内容见日志章节)。 6,不允许提供目录遍历服务。 记录不符合规范的上传文件日志 |
其他说明 | 任意文件下载可以手工监测,也可以使用awvs appscan等工具自动进行检查 |
认证授权--任意文件下载测试用例
于 2023-11-02 08:58:41 首次发布