网络管理员面试题

当前位置: 面试问题网 > 网络管理员面试题 > 介绍一下如何利用路径遍历进行攻击及如何防范

介绍一下如何利用路径遍历进行攻击及如何防范

如果应用程序使用用户可控制的数据,以危险的方式访问位于应用服务器或其它后端文件系统的文件或目录,就会出现路径遍历
  
   String rurl = request.getParameter(“rurl”);
   BufferedWriter utput2 = new BufferedWriter(new FileWriter(new File(“/home/chenyz/”+rurl)));
  
   攻击者可以将路径遍历序列放入文件名内,向上回溯,从而访问服务器上的任何文件,路径遍历序列叫“点-点-斜线”(..)
  
   http://***/go.action?file=....etcpasswd
  
   避开过滤
   第一种是过滤文件名参数中是否存在任何路径遍历序列(..)
   如果程序尝试删除(..)来净化用户输入,可以用
   ….// …./ …./ ….\
   进行URL编码
   点–>%2e 反斜杠–>%2f 正斜杠–>%5c
   进行16为Unicode编码
   点–>%u002e 反斜杠–>%u2215 正斜杠–>%u2216
   进行双倍URL编码
   点–>%252e 反斜杠–>%u252f 正斜杠–>%u255c
   进行超长UTF-8 Unicode编码
   点–>%c0%2e %e0$40%ae %c0ae
   反斜杠–>%c0af %e0%80af %c0%af
   正斜杠–>%c0%5c %c0%80%5c
   预防路径遍历的方法:
   1.对用户提交的文件名进行相关解码与规范化
   2.程序使用一个硬编码,被允许访问的文件类型列表
   3.使用getCanonicalPath方法检查访问的文件是否位于应用程序指定的起始位置

【介绍一下如何利用路径遍历进行攻击及如何防范】相关文章

1. 介绍一下如何利用路径遍历进行攻击及如何防范

2. 介绍一下SQL注入攻击的种类和防范手段

3. 介绍一下如何优化MySql

4. 如何利用社交媒体找工作?

5. 如何利用XMLHTTP检测URL及探测服务器信息

6. 如何利用cmp命令比较文件

7. 如何利用find命令查找文件

8. 如何防范网络陷阱

9. 作为网站管理者应当如何防范XSS

10. 简述进程的启动、终止的方式以及如何进行进程的查看

本文来源:https://www.mianshiwenti.com/a12085.html

点击展开全部

《介绍一下如何利用路径遍历进行攻击及如何防范》

将本文的Word文档下载到电脑,方便收藏和打印

推荐程度:

进入下载页面

﹝介绍一下如何利用路径遍历进行攻击及如何防范﹞相关内容

「介绍一下如何利用路径遍历进行攻击及如何防范」相关专题

其它栏目

也许您还喜欢