成品网站源码1688版本号,中企动力 网站报价,开发网站开发工程师招聘,坪山做网站在web功能设计中,很多时候我们会要将需要访问的文件定义成变量#xff0c;从而让前端的功能便的更加灵活。
当用户发起一个前端的请求时#xff0c;便会将请求的这个文件的值(比如文件名称)传递到后台#xff0c;后台再执行其对应的文件。
在这个过程中#xff0c;如果后…在web功能设计中,很多时候我们会要将需要访问的文件定义成变量从而让前端的功能便的更加灵活。
当用户发起一个前端的请求时便会将请求的这个文件的值(比如文件名称)传递到后台后台再执行其对应的文件。
在这个过程中如果后台没有对前端传进来的值进行严格的安全考虑则攻击者可能会通过“…/”这样的手段让后台打开或者执行一些其他的文件。
从而导致后台服务器上其他目录的文件结果被遍历出来形成目录遍历漏洞。 看到这里,你可能会觉得目录遍历漏洞和不安全的文件下载甚至文件包含漏洞有差不多的意思是的目录遍历漏洞形成的最主要的原因跟这两者一样都是在功能设计中将要操作的文件使用变量的方式传递给了后台而又没有进行严格的安全考虑而造成的只是出现的位置所展现的现象不一样因此这里还是单独拿出来定义一下。
需要区分一下的是,如果你通过不带参数的url比如http://xxxx/doc列出了doc文件夹里面所有的文件这种情况我们成为敏感信息泄露。而并不归为目录遍历漏洞。关于敏感信息泄露你你可以在i can see you ABC中了解更多
你可以通过“…/…/”对应的测试栏目来进一步的了解该漏洞。
目录遍历 http://192.168.80.139/pikachu/vul/dir/dir_list.php?title../../../../1.php
