介紹一下如何利用路徑遍歷進行攻擊及如何防范筆試題目
如果應用程序使用用戶可控制的數據,以危險的'方式訪問位于應用服務器或其它后端文件系統的文件或目錄,就會出現路徑遍歷
String rurl = request.getParameter(“rurl”);
BufferedWriter utput2 = new BufferedWriter(new FileWriter(new File(“/home/chenyz/”+rurl)));
攻擊者可以將路徑遍歷序列放入文件名內,向上回溯,從而訪問服務器上的任何文件,路徑遍歷序列叫“點-點-斜線”(..\)
http://***/go.action?file=..\..\etc\passwd
避開過濾
第一種是過濾文件名參數中是否存在任何路徑遍歷序列(..\)
如果程序嘗試刪除(..\)來凈化用戶輸入,可以用
….// ….\/ …./\ ….\\
進行URL編碼
點–>%2e 反斜杠–>%2f 正斜杠–>%5c
進行16為Unicode編碼
點–>%u002e 反斜杠–>%u2215 正斜杠–>%u2216
進行雙倍URL編碼
點–>%252e 反斜杠–>%u252f 正斜杠–>%u255c
進行超長UTF-8 Unicode編碼
點–>%c0%2e %e0$40%ae %c0ae
反斜杠–>%c0af %e0%80af %c0%af
正斜杠–>%c0%5c %c0%80%5c
預防路徑遍歷的方法:
1.對用戶提交的文件名進行相關解碼與規范化
2.程序使用一個硬編碼,被允許訪問的文件類型列表
3.使用getCanonicalPath方法檢查訪問的文件是否位于應用程序指定的起始位置
【介紹一下如何利用路徑遍歷進行攻擊及如何防范筆試題目】相關文章:
如何防范勒索軟件攻擊08-09
談談如何防范ARP攻擊10-30
如何利用暑期進行考研復習08-22
如何利用社交媒體進行銷售09-05
物業企業如何利用制度進行管理08-26
如何利用ps進行遙感影像的色彩處理11-15
企業如何利用稅法規定進行納稅籌劃10-10
護士面試如何進行自我介紹及范文11-05
研計算機如何利用暑假進行高效復習07-26