目录遍历漏洞介绍
路径遍历攻击(也称为目录遍历)是指在访问储存在web根目录文件夹之外的文件和目录。通过操纵带有“点-斜线(..)”序列及其变化的文件或使用绝对文件路径来引用文件的变量,可以访问存储在文件系统上的任意文件和目录,包括应用程序源代码、配置和关键系统文件。
需要注意的是,系统操作访问控制(如在微软windows操作系统上锁定或使用文件)限制了对文件的访问权限。
这种攻击也称为 “点-点斜线”、“目录遍历”、“目录爬升”和“回溯”。
搭建一个存在目录遍历漏洞的虚拟机,做个实验。
使用Owasp zap进行漏洞扫描,挖掘漏洞。
然后复制它的URL到浏览器查看该漏洞
目录遍历的漏洞通过`../../../`这样的形式来进行目录读取服务器中的文件,`../../../../`越多多好,因为在终端中,`../`是返回上一级目录,到根目录使用`../`会返回当前页面。