目录遍历漏洞是由于web中间件目录访问相关的配置错误造成的,该漏洞会泄露web应用程序的敏感路径、敏感的文件信息、网站的编辑器路径或测试接口、系统敏感目录(配合../等目录跳转符)等信息,从而给网站的安全带来威胁
检测方法:
主要有两种方式:手工测试和使用自动化扫描器。
1)手工测试:通过直接访问网站的各种目录(不加文件名和参数),如果显示了该目录下的文件和目录信息,证明存在该漏洞。
2)自动化扫描:一般使用大型的web漏洞扫描工具来进行自动测试,如awvs、w3af、APPscan、dirBuster等测试。
解决方法:
目录遍历漏洞根本原因是Web中间件与网站目录权限配置不当。在网站目录无索引文件(index.html、index.asp、index.php、index.jsp等)的情况下,访问该网站目录时会直接显示该目录下所有的文件及其子目录。通过对Web中间件进行正确的配置,可以有效的避免这类漏洞