介绍一下如何利用路径遍历进行攻击及如何防范笔试题目

时间:2020-11-18 14:22:14 笔试题目 我要投稿

介绍一下如何利用路径遍历进行攻击及如何防范笔试题目

  如果应用程序使用用户可控制的数据,以危险的'方式访问位于应用服务器或其它后端文件系统的文件或目录,就会出现路径遍历

介绍一下如何利用路径遍历进行攻击及如何防范笔试题目

  String rurl = request.getParameter(“rurl”);

  BufferedWriter utput2 = new BufferedWriter(new FileWriter(new File(“/home/chenyz/”+rurl)));

  攻击者可以将路径遍历序列放入文件名内,向上回溯,从而访问服务器上的任何文件,路径遍历序列叫“点-点-斜线”(..\)

  http://***/go.action?file=..\..\etc\passwd

  避开过滤

  第一种是过滤文件名参数中是否存在任何路径遍历序列(..\)

  如果程序尝试删除(..\)来净化用户输入,可以用

  ….// ….\/ …./\ ….\\

  进行URL编码

  点–>%2e 反斜杠–>%2f 正斜杠–>%5c

  进行16为Unicode编码

  点–>%u002e 反斜杠–>%u2215 正斜杠–>%u2216

  进行双倍URL编码

  点–>%252e 反斜杠–>%u252f 正斜杠–>%u255c

  进行超长UTF-8 Unicode编码

  点–>%c0%2e %e0$40%ae %c0ae

  反斜杠–>%c0af %e0%80af %c0%af

  正斜杠–>%c0%5c %c0%80%5c

  预防路径遍历的方法:

  1.对用户提交的文件名进行相关解码与规范化

  2.程序使用一个硬编码,被允许访问的文件类型列表

  3.使用getCanonicalPath方法检查访问的文件是否位于应用程序指定的起始位置

【介绍一下如何利用路径遍历进行攻击及如何防范笔试题目】相关文章:

如何防范勒索软件攻击08-09

谈谈如何防范ARP攻击10-30

如何利用暑期进行考研复习08-22

如何利用社交媒体进行销售09-05

物业企业如何利用制度进行管理08-26

如何利用ps进行遥感影像的色彩处理11-15

企业如何利用税法规定进行纳税筹划10-10

护士面试如何进行自我介绍及范文11-05

研计算机如何利用暑假进行高效复习07-26