目录遍历解决方案

最新推荐文章于 2024-05-31 10:46:10 发布
最新推荐文章于 2024-05-31 10:46:10 发布
阅读量100 收藏
点赞数
文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45816407/article/details/133301594
版权

原理

程序在实现上没有充分过滤用户输入的…/之类的目录跳转符,导致恶意用户可以通过提交目录跳转来遍历服务器上的任意文件。

防御方案

对用户的输入进行验证,特别是路径替代字符如“…/”和“~/”。
获取文件路径,过滤文件路径参数,如…/ 、 …\ 、 ./ 等跳转路径
尽可能采用白名单的形式,验证所有的输入。
对文件后缀白名单校验:
图片类型 .jpg .png .gif .jpeg .dwg
文档类型 .doc .docx .ppt .pptx .xls .xlsx .pdf
合理配置Web服务器的目录权限。
当程序出错时,不要显示内部相关配置细节。
对用户传过来的文件名参数进行统一编码,对包含恶意字符或者空字符的参数进行拒绝。
对上传文件校验文件大小
对上传文件重命名
获取文件路径,判断是否在预期目录
对客户端不直接暴露路径,使用文件ID代替文件名和文件路径

可以修改tomcat的web.xml配置文件

tomcat 的web.xml 配置文件中有一个属性值 listing (Directory Listing),这个属性值是控制是否展示虚拟目录;
在这里插入图片描述

你邻座的怪同学
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
slngen:Visual Studio解决方案生成器
04-30
SlnGen 概述 SlnGen是Visual Studio解决方案文件生成器。 Visual Studio解决方案通常不适用于大型项目树。 它们是一组项目的作用域视图。 企业级构建使用自定义逻辑(例如遍历)来传达如何由托管构建环境构建它们。 维护Visual Studio解决方案变得很困难,因为您必须使它们与其他构建逻辑保持同步。 相反,SlnGen会读取给定项目的项目引用,以根据需要创建Visual Studio解决方案。 例如,您可以对一个单元测试项目运行它,并向其提供一个Visual Studio解决方案,其中包含该单元测试项目及其所有项目引用。 您也可以在根目录文件夹中的遍历项目上运行SlnGen,以打开包含该项目树视图的Visual Studio解决方案。 入门-.NET Core全局工具(推荐) 要安装SlnGen,请运行以下命令: dotnet tool install
火山pc 文件遍历解决方案
04-12
资源原址:https://www.lkuaiy.com/rsdetails?page=1&id=16473118643875946 转发至利快云官网
leetcode小岛出水口-leetcode:leetcode-解决方案
06-30
leetcode小岛出水口 leetcode solutions record 原来readme是这么玩的 解题原则:天性至懒 Practices DFS:使用回溯实现。 回溯:写一个Core递归方法,方法的结构如下。 递归终止条件(看DFS的最后一层写出来) 循环(看DFS的第一层写出来) BFS:使用队列 循环的终止条件是队列为空。 遍历每一层的时候将下一层的节点添加到队列。 目录
Delphi 遍历windows目录下的文件
11-11
Delphi中使用System.SysUtils.findFirst,findnext和findclose函数进行目录遍历时,在Windows10及win11中会出现error code 18错误,在此提供一个解决方案,直接使用winapi完美解决
javalruleetcode-LeetCode_Solution:力扣_解决方案
06-29
java lru leetcode LeetCode_Solution 目录 实战题目 - Array 题目 难度 题目名称及解答 C++ Java Python 中等 简单 中等 简单 简单 简单 简单 简单 简单 中等 简单 中等 实战题目 - Linked List 题号 难度 题目名称及解答 C++ Java Python 中等 中等 中等 困难 简单 中等 简单 实战题目 - Binary Tree 题号 难度 题目名称及解答 C++ Java Python 中等 中等 中等 104 简单 105 中等 111 简单 144 中等 226 简单 230 中等 236 中等 297 困难 429 简单 589 简单 590 简单 实战题目 - 分治 题号 难度 题目名称及解答 C++ Java Python 17 中等 50 中等 78 中等 169 简单 实战题目 - 遍历和搜索 题号 难度 题目名称及解答 C++ Java Python 102 中等 127 中等 200 中等 433 中等 515 中等 529 中等 实战题目 - 剪枝 题号 难度 题目名称及解答 C++
目录遍历漏洞原理、解决方案
qq_37432174的博客
11-22 8722
目录遍历(路径遍历)是由于web服务器或者web应用程序对用户输入的文件名称的安全性验证不足而导致的一种安全漏洞,使得攻击者通过利用一些特殊字符就可以绕过服务器的安全限制,访问任意的文件(可以使web根目录以外的文件),甚至执行系统命令。/之类的目录跳转符,导致恶意用户可以通过提交目录跳转来遍历服务器上的任意文件。对用户传过来的文件名参数进行统一编码,对包含恶意字符或者空字符的参数进行拒绝。对用户的输入进行验证,特别是路径替代字符如“…尽可能采用白名单的形式,验证所有的输入。
Weblogic部署的项目存在目录遍历解决方案
wu__di的博客
10-14 796
1.场景描述 使用Weblogic部署项目,可能是静态资源也可能是war包等。 2.问题描述 在漏洞扫描过程中发现静态资源存在目录遍历的问题。 3.问题分析 (1)该问题属于配置范畴,通过静态资源的上一级目录可以获取所有的资源。 (2)查看Weblogic部署项目的配置文件。 4.解决方案 找到部署应用的WEB-INF目录,找到weblogic.xml文件,在文件中禁用目录浏览(false为禁止目录浏览)。 <container-descriptor>  &l...
目录遍历漏洞及其解决方案-apache,tomcat
热门推荐
安全解决方案
01-23 3万+
一. 什么是目录遍历漏洞 目录遍历(路径遍历)是由于web服务器或者web应用程序对用户输入的文件名称的安全性验证不足而导致的一种安全漏洞,使得攻击者通过利用一些特殊字符就可以绕过服务器的安全限制,访问任意的文件(可以使web根目录以外的文件),甚至执行系统命令。 二. 目录遍历漏洞原理 程序在实现上没有充分过滤用户输入的../之类的目录跳转符,导致恶意用户可以通过提交目录跳转来遍历服务器上...
nginx-目录遍历漏洞
zzf9347的博客
12-01 3791
nginx目录遍利漏洞修复
php 禁止遍历目录,阻止PHP中的目录遍历但允许路径
weixin_29332867的博客
03-09 336
浮云间ircmaxell的回答不完全正确。我在几个片段中看到了这个解决方案,但是它有一个与realpath()..这个realpath()函数移除尾随目录分隔符,因此设想两个连续目录,如:/foo/bar/baz//foo/bar/baz_baz/如realpath()将删除最后一个目录分隔符,如果$_GET['path']等于“./baz_baz”,因为它类似于strpos("/foo/bar/...
apache目录遍历漏洞利用_漏洞情报 | Apache Flink 目录遍历漏洞
weixin_36070568的博客
01-14 268
通告信息2021年1月06日,安识科技A-Team团队监测到Apache Flink 发布了目录穿越的漏洞通告,CVE编号为CVE-2020-17518,CVE-2020-17519。Apache Flink是一个开源流处理框架,其核心是用Java和Scala编写的分布式流数据流引擎。攻击者利用该漏洞可实现远程读取服务器任意文件,远程写入任意文件,存在极大的安全隐患。安识科技建议广大用户及时升级A...
php 目录遍历漏洞,PHP 'php_zip.c' 目录遍历漏洞(CVE-2014-9767)
weixin_35678674的博客
03-10 357
PHP 'php_zip.c' 目录遍历漏洞(CVE-2014-9767)发布日期:2016-05-25更新日期:2016-09-09受影响系统:PHP PHP < 5.4.45PHP PHP 5.6.x < 5.6.13PHP PHP 5.5.x < 5.5.29描述:BUGTRAQ ID: 76652CVE(CAN) ID: CVE-2014-9767PHP是广泛使用的通用...
wordlist和目录遍历
山兔的博客
10-24 1205
在大多数环境中,Web 服务器在许多部门的基础结构和日常流程中发挥着重要作用。Web服务器有时可以严格地由员工在内部使用,但大多数时候可以发现是面向公众的,这意味着来自Internet的任何人都可以访问它们,以从其托管的网页中检索信息和文件。在大多数情况下,Web服务器上托管的网页通过其管理面板进行管理,并锁定在登录页面后面。让我们想一个例子:我们已经决定开始自己的博客并使用WordPress来实现此目的。但它本质上是一个流行的Web应用程序,可让我们轻松管理要发布的内容以供世界其他地区阅读。
如何解决 Apache Tomcat 目录遍历漏洞
gtlishujie的博客
07-11 1万+
APACHE 的   Options Indexes MultiViews  ← 找到这一行,将“Indexes”删除     ↓   Options MultiViews   ← 变为此状态(不在浏览器上显示树状目录结构) AllowOverride None Order allow,deny Allow from all TOMCAT修改conf/web.xml文件
进阶2 探索图形化编程:扩展图形组件与切片开发的魅力
优树搭的博客
05-30 1495
当这些切片成功地通过图形程序串联起来后,在后续进行程序升级或维护时,大家会惊喜地发现,图形程序就如同清晰的路标一般,可以非常便捷地通过图形程序准确地定位到相关切片,并对这些切片进行在线查看、编辑和执行等操作。而且,这些切片的代码长度通常不会太长,相比传统开发的代码,阅读起来要容易得多,这无疑会给系统后续的工作带来极大的便利。
operator <=> (spaceship operator)
janeqi1987的专栏
05-28 1054
= 与!= 操作符为了检查是否相等,现在定义== 操作符就够了。当编译器找不到表达式的匹配声明a!=b 时,编译器会重写表达式并查找!(a==b)。若这不起作用,编译器也会尝试改变操作数的顺序,所以也会尝试!(b==a):a!=b,!(b==a)因此,对于TypeA 的a 和TypeB 的b,编译器将能够识别并编译a!= b若需要的话,可以这样做• 一个独立函数operator!• 一个独立函数operator==(TypeA, TypeB)
Java 异常处理中try-catch块、finally子句以及自定义异常的使用
最新发布
Itmastergo的博客
05-31 869
异常是程序运行过程中出现的非正常情况。Java 使用异常类(Exception 类及其子类)来表示这些异常情况。异常处理的核心思想是将正常的程序流程与异常处理流程分离开来,使代码更加清晰和可维护。Throwable 类:所有异常和错误的基类。Error 类:表示系统级的错误,程序通常无法处理,比如内存不足(OutOfMemoryError)。Exception 类:表示程序中可以处理的异常情况。RuntimeException 类。
Java手动启动jar包
liangweihao的博客
05-29 347
【代码】Java手动启动jar包。
JAVA 漏洞:绝对路径遍历 解决方案
03-09
对于这个问题,我们可以采取以下措施来解决绝对路径遍历漏洞: 1. 对用户输入的路径进行过滤和验证,确保输入的路径符合预期的格式和范围。 2. 使用相对路径来代替绝对路径,这样可以避免绝对路径遍历漏洞的发生。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值