前幾日研究某web專案源**,使用的是thinkphp框架,根目錄下有個www目錄,存放專案模組的入口檔案。頓時茫然,本人一般直接把入口檔案放在web根目錄,而這裡卻是www目錄,不知www目錄是何作用,遂問老大,老大回:你查查什麼是目錄遍歷攻擊。所以才懂得www目錄之所以存在的目的。。。
攻擊人員通過目錄便利攻擊可以獲取系統檔案及伺服器的配置檔案等等。一般來說,他們利用伺服器api、檔案標準許可權進行攻擊。嚴格來說,目錄遍歷攻擊並不是一種web漏洞,而是**設計人員的設計「漏洞」。如果web設計者設計的web內容沒有恰當的訪問控制,允許http遍歷,攻擊者就可以訪問受限的目錄,並可以在web根目錄以外執行命令。
攻擊者通過訪問根目錄,傳送一系列」../」字元來遍歷高層目錄,並且可以執行系統命令,甚至使系統崩潰。
1、可以利用web漏洞掃瞄器掃瞄一下web應用,不僅可以找出漏洞,還會提供解決辦法,另外還可以發現是否存在sql漏洞及其他漏洞。
2、也可以檢視web log,如果發現有未授權使用者訪問越級目錄,說明有目錄便利漏洞。
防範目錄遍歷攻擊漏洞,最有效的辦法就是許可權控制,謹慎處理傳向檔案系統api的引數。本人認為最好的防範方法就是組合使用下面兩條:
1、淨化資料:對使用者傳過來的檔名引數進行硬編碼或統一編碼,對檔案型別進行白名單控制,對包含惡意字元或者空字元的引數進行拒絕。
2、web應用程式可以使用chrooted環境包含被訪問的web目錄,或者使用絕對路徑+引數來訪問檔案目錄,時使其即使越權也在訪問目錄之內。www目錄就是乙個chroot應用。
chroot
chroot是在unix系統的乙個操作,針對正在運作的軟體程序和它的子程序,改變它外顯的根目錄。乙個執行在這個環境下,經由chroot設定根目錄的程式,它不能夠對這個指定根目錄之外的檔案進行訪問動作,不能讀取,也不能更改它的內容。chroot這一特殊表達可能指chroot(2)系統呼叫或chroot(8)前端程式。
由chroot創造出的那個根目錄,叫做「chroot監獄」(chroot jail,或chroot prison)。more
chroot使用
參考**路徑遍歷漏洞
目錄遍歷攻擊詳解
目錄遍歷攻擊防護
什麼是DDOS攻擊及怎麼抵抗DDOS攻擊
一 為何要ddos?隨著internet網際網路絡頻寬的增加和多種ddos黑客工具的不斷發布,ddos拒絕服務攻擊的實施越來越容易,ddos攻擊事件正在成上公升趨勢。出於商業競爭 打擊報復和網路敲詐等多種因素,導致很多idc託管機房 商業站點 遊戲伺服器 聊天網路等網路服務商長期以來一直被ddos攻...
什麼是DDOS攻擊及怎麼抵抗DDOS攻擊?
一 為何要ddos 隨著internet 網際網路絡頻寬的增加和多種ddos 黑客工具的不斷發布,ddos 拒絕服務攻擊的實施越來越容易,ddos 攻擊事件正在成上公升趨勢。出 於商業競爭 打擊報復和網路敲詐等多種因素,導致很多idc 託管機房 商業站點 遊戲伺服器 聊天網路等網路服務商長期以來一直...
什麼是抗攻擊伺服器?抗攻擊伺服器是如何防禦攻擊的?
抗攻擊伺服器是指可以抵擋cc,ddos.syn等一些外來攻擊的伺服器,通常這樣的伺服器位於高硬防機房.機房有硬體防火牆的防護,另外也會針對常見攻擊種類做一些安全設定,從而起到防禦攻擊的作用,保障伺服器安全流暢的執行。抗攻擊伺服器如何防禦攻擊 1 採用高效能的網路裝置 首先要保證網路裝置不能成為瓶頸,...