是什么?
目录遍历是网络配置缺陷,导致目录可以被任意浏览,使得一些隐私文件和目录被泄露。
为什么?
没有对../目录设置过滤、加密或权限,恶意用户可以跳转遍历服务器上的任意文件。
防御方案
- 加密参数传递的数据
对参数进行base64加密后在进行传参 - 编码绕过
URL编码 - 绕过文件后缀过滤
攻击者会在文件名后放一个空字符节,如%00,绕过对文件后缀的检查
利用目录遍历上传shell并拿到一个低权限
探测敏感目录(探测工具:御剑,DirBuster等),弱口令登陆,查找利用的webshell上传点
标签:文件,遍历,加密,后缀,绕过,目录 From: https://www.cnblogs.com/xiao-xiaoyang/p/18418775