论坛风格切换

3129阅读
7回复

[入侵检测]web安全之目录/文件攻击--目录穿越攻击（web安全） [复制链接]

上一主题下一主题查看指定楼层

查看指定楼层

发帖: 937

黑豆: 212

威望: 2573

贡献值: 0

交易币: 0

红豆: 0

只看楼主倒序阅读 0 发表于: 2014-05-17

一定义

攻击者在web根目录以外的文件夹里，任意存取被限制的文件夹，执行命令，或查找数据。

二攻击方法

先看一段代码（路径不准确，主要是讲解攻击方法）

1

2

3

4

5

<?php if(isset($_GET["file"])){ @readfile("home/".$_GET["file"]); }?>

如果输入url: http://localhost/test.php?file=../../access.log

那么readfile函数路径为apache的日志目录，攻击者查看日志，获取信息，进行攻击

三防范手法
1》》
使用strstr（）函数测试是否存在"../"这样的字符

2》》
在php.ini中设置允许的访问目录，配置项为： open_basedir=""

3》》
同时使用basename() 和 realname()对目录过滤

分享到 淘江湖新浪 QQ微博 QQ空间开心人人豆瓣网易微博百度鲜果白社会飞信

发帖: 524

黑豆: 971

威望: 632

贡献值: 0

交易币: 0

红豆: 0

只看该作者 1 发表于: 2014-05-17

。。

我就差那临门一脚

菜鸟(发帖需审核,请升级)

发帖: 7

黑豆: 14

威望: 16

贡献值: 0

交易币: 0

红豆: 0

只看该作者 2 发表于: 2014-05-17

会攻击网站的，或者会修改网站数据，如果修改成功，我一个星期最少给一万刀，是货的留下联系方式，非诚勿扰。注：不是违法犯罪的

发帖: 201

黑豆: 220

威望: 264

贡献值: 0

交易币: 0

红豆: 0

只看该作者 3 发表于: 2014-11-17

菜鸟(发帖需审核,请升级)

发帖: 10

黑豆: 13

威望: 14

贡献值: 0

交易币: 0

红豆: 0

只看该作者 4 发表于: 2014-11-25

看帖要回帖。

发帖: 1048

黑豆: 618

威望: 2921

贡献值: 0

交易币: 0

红豆: 13

只看该作者 5 发表于: 2014-12-10

学习了~~

菜鸟(发帖需审核,请升级)

发帖: 5

黑豆: 4

威望: 5

贡献值: 0

交易币: 0

红豆: 0

只看该作者 6 发表于: 2014-12-14

看帖要回帖~~~~~~~~~~

菜鸟(发帖需审核,请升级)

发帖: 8

黑豆: 5

威望: 7

贡献值: 0

交易币: 0

红豆: 0

只看该作者 7 发表于: 2014-12-17

看了就回

看了就回