路径遍历攻击,是指在访问存储在Web根文件夹之外的文件和目录,通过操纵带有“点-斜线(…)”序列及其变化的文件或使用绝对文件路径来引用文件的变量,可以访问存储在文件系统上的任意文件和目录,包括应用程序源代码、配置和关键系统文件。路径遍历攻击,也称为“点-点斜线”、“目录遍历”、“目录爬升”和“回溯”。
许多功能都要求Web应用程序根据用户在请求中提交的参数向文件系统读取或写入数据。如果应用程序使用用户可控制的数据、以危险的方式访问位于应用程序服务器或其他后端文件系统中的文件和目录,就会出现路径遍历漏洞。攻击者可利用这种漏洞读取密码和应用程序日志之类的敏感数据,并最终在服务器上执行任何命令,或者重写安全性至关重要的数据项,如配置文件和软件代码。这种漏洞可使攻击者能够完全攻破应用程序与基础操作系统。路径遍历漏洞很难发现,且Web应用程序对它们实施的防御也十分脆弱。
路径遍历攻击针对Web root文件夹,访问目标文件夹外部的未授权文件或目录。攻击者试图将移动模式注入服务器目录,以便向上爬升。成功的路径遍历攻击能够获得网站访问权,染指配置文件、数据库和同一实体服务器上的其他网站和文件。
路径遍历攻击不常见,但也是Web应用的一大威胁。网站能否抵御路径遍历攻击取决于输入净化程度。这意味着保证用户输入安全,并且不能从服务器恢复出用户输入内容。
了解更多服务器及资讯,请关注梦飞科技官方网站 https://www.mfisp.com/,感谢您的支持!