溫馨提示×
您好,登錄后才能下訂單哦!
點擊 登錄注冊 即表示同意《億速云用戶服務條款》
您好,登錄后才能下訂單哦!
這期內容當中小編將會給大家帶來有關目錄遍歷攻擊有哪些危害,文章內容豐富且以專業的角度為大家分析和敘述,閱讀完這篇文章希望大家可以有所收獲。
目錄遍歷攻擊的危害:路徑遍歷漏洞允許惡意攻擊者突破Web應用程序的安全控制,直接訪問攻擊者想要的敏感數據 ,包括配置文件、日志、源代碼等,設置網站所在服務器不能正常工作,網站癱瘓。
受益來說比較復雜,有一些小型ddos攻擊者,只是為了虛榮心,基本沒有什么利益但是有組織,有目的的ddos攻擊,是有復雜的利益鏈,一般都會有上家付錢給攻擊者。對于被害者來說,危害就是網站,設置網站所在服務器不能正常工作,網站癱瘓。損害很大。
路徑遍歷漏洞允許惡意攻擊者突破Web應用程序的安全控制,直接訪問攻擊者想要的敏感數據 ,包括配置文件、日志、源代碼等,配合其它漏洞的綜合利用,攻擊者可以輕易的獲取更高的權限,并且這樣的漏洞在發掘上也是很容易的,只要對Web應用程序的讀寫功能塊直接手工檢測,通過返回的頁面內容來判斷,是很直觀的,利用起來也相對簡單。
擴展資料
目錄遍歷攻擊
一、描述
攻擊人員通過目錄便利攻擊可以獲取系統文件及服務器的配置文件等等。一般來說,他們利用服務器API、文件標準權限進行攻擊。嚴格來說,目錄遍歷攻擊并不是一種web漏洞,而是網站設計人員的設計“漏洞”。
如果web設計者設計的web內容沒有恰當的訪問控制,允許http遍歷,攻擊者就可以訪問受限的目錄,并可以在web根目錄以外執行命令。
二、攻擊方法
攻擊者通過訪問根目錄,發送一系列”../”字符來遍歷高層目錄,并且可以執行系統命令,甚至使系統崩潰。
三、發現漏洞
1、可以利用web漏洞掃描器掃描一下web應用,不僅可以找出漏洞,還會提供解決辦法,另外還可以發現是否存在sql漏洞及其他漏洞。
2、也可以查看weblog,如果發現有未授權用戶訪問越級目錄,說明有目錄便利漏洞。
四、如何防范
防范目錄遍歷攻擊漏洞,最有效的辦法就是權限控制,謹慎處理傳向文件系統API的參數。本人認為最好的防范方法就是組合使用下面兩條:
1、凈化數據:對用戶傳過來的文件名參數進行硬編碼或統一編碼,對文件類型進行白名單控制,對包含惡意字符或者空字符的參數進行拒絕。
2、web應用程序可以使用chrooted環境包含被訪問的web目錄,或者使用絕對路徑+參數來訪問文件目錄,時使其即使越權也在訪問目錄之內。www目錄就是一個chroot應用。
上述就是小編為大家分享的目錄遍歷攻擊有哪些危害了,如果剛好有類似的疑惑,不妨參照上述分析進行理解。如果想知道更多相關知識,歡迎關注億速云行業資訊頻道。
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。
