Web应用程序的安全性问题依其存在的形势划分,种类繁多,这里不准备介绍所有的,只介绍常见的一些。

 常见Web应用安全问题安全性问题的列表:

  1、跨站脚本攻击(CSS or XSS, Cross Site Scripting)
  2、SQL注入攻击(SQL injection)
  3、远程命令执行(Code execution,个人觉得译成代码执行并不确切)
  4、目录遍历(Directory traversal)
  5、文件包含(File inclusion)
  6、脚本代码暴露(Script source code disclosure)
  7、Http请求头的额外的回车换行符注入(CRLF injection/HTTP response splitting)
  8、跨帧脚本攻击(Cross Frame Scripting)
  9、PHP代码注入(PHP code injection)
  10、XPath injection
  11、Cookie篡改(Cookie manipulation)
  12、URL重定向(URL redirection)
  13、Blind SQL/XPath injection for numeric/String inputs
  14、Google Hacking

目录遍历(Directory traversal)

  部分朋友应该知道之前我在我的blog里公布了ah163.net上的一个安全漏洞,安全级别高:极度危险,由于我没有公布细节,大家都比较好奇想知道是什么。出于对同行的尊重我就删除了漏洞公布这一栏的内容了。我已经通知ah163.net的同行了,他们已经fix那个问题。

今天我们就讲讲这个漏洞。love.ah163.net上有网络硬盘服务,当注册用户登录并开通网络硬盘服务后,即可进入自己的硬盘管理界面,我们来看看它是如何进入某一个目录的,以下是进入某一目录的URL:  http://love.ah163.net/Personal_Spaces_List.php?dir=MyFolder

那现在我把这个URL改装一下:http://love.ah163.net/Personal_Spaces_List.php?dir=../../../../../../../../../../../../../usr/local/apache/conf/

在浏览器里运行它,会是什么结果呢?结果是:/usr/local/apache/conf/里的所有文件都老老实实的列出来了,通过这种方式,你可以发挥你的想象了,服务器上的东东是不是都差不多可以列出来了?告诉你,还可以随便下载呢!网络硬盘嘛,就是用来上传下载的,所以它提供的功能很完备,破坏性也就很强了。至于它的危害有多大,你自己想去吧,我就不危言耸听了。

  简要的解决方案:

1、同样是限制Web应用在服务器上的运行

2、进行严格的输入验证,控制用户输入非法路径

本文来自:http://blog.csdn.net/iwebsecurity/article/details/1693877

【常见Web应用安全问题】---4、Directory traversal相关推荐

  1. 【常见Web应用安全问题】

    http://blog.csdn.net/yefan2222/article/details/7094622 Web应用程序的安全性问题依其存在的形势划分,种类繁多,这里不准备介绍所有的,只介绍常见的 ...

  2. 【常见Web应用安全问题】---1、Cross Site Scripting

    Web应用程序的安全性问题依其存在的形势划分,种类繁多,这里不准备介绍所有的,只介绍常见的一些.  常见Web应用安全问题安全性问题的列表: 1.跨站脚本攻击(CSS or XSS, Cross Si ...

  3. 3 Directory traversal

    3 Directory traversal目录遍历攻击 目录 3 Directory traversal目录遍历攻击 一.What 二.通过目录遍历读取任意文件 Lab: File path trav ...

  4. 常见web安全隐患及解决方案

    Abstract 有关于WEB服务以及web应用的一些安全隐患总结资料. 1. 常见web安全隐患 1.1.       完全信赖用户提交内容 开发人员决不能相信一个来自外部的数据.不管它来自用户提交 ...

  5. 聊聊directory traversal attack

    序 本文主要研究一下directory traversal attack及其防范 directory traversal attack 又称Path Traversal attack,即目录遍历攻击, ...

  6. 十大常见web漏洞及防范

    十大常见web漏洞 一.SQL注入漏洞 SQL注入攻击(SQL Injection),简称注入攻击.SQL注入,被广泛用于非法获取网站控制权,是发生在应用程序的数据库层上的安全漏洞.在设计程序,忽略了 ...

  7. 【每日三省吾身】常见Web漏洞基本原理

    常见Web漏洞基本原理 前言 一.SQL注入 二.CSRF攻击,跨站请求伪造 三.XSS漏洞 总结 前言 一.SQL注入   这是在输入的字符串中注入了SQL指令,在设计不良的程序当中忽略了检查,那么 ...

  8. 常见WEB漏洞原理分析

    一.SQL注入漏洞 SQL注入攻击(SQL Injection),简称注入攻击.SQL注入,被广泛用于非法获取网站控制权,是发生在应用程序的数据库层上的安全漏洞.在设计程序,忽略了对输入字符串中夹带的 ...

  9. 常见web漏洞及防范(转)

    单个漏洞,需要进行排查与整改,借着别人的智慧,做一个简单的收集.最好能够将常见漏洞,不限于web类的,进行一个统一的整理.这是今年的任务. 进行漏洞的工具的收集,为未来的工作做好基础... 一.SQL ...

最新文章

  1. Kruskal算法 - C语言详解
  2. Linux下crontab(自动重启)的格式备忘
  3. 回顾游戏中的设计模式:策略模式vs抽象工厂
  4. Ruby on Rails:控制器纵览
  5. linux installaccess Nessus-5.2.4
  6. Java并发编程之volatile变量
  7. 【Openstack】【Nova】开发者入门,开发工作流
  8. NumPy:数组计算
  9. 读书笔记_Effective_C++_条款二十四: 若所有参数皆需类型转换,请为此采用non-member函数...
  10. Ibatis ISqlMapper工厂类案例
  11. Jmeter中主要管理器功用
  12. 手把手教你在Linux环境下安装Python3
  13. 华为交换机开启web管理
  14. Visual FoxPro操作dbf时语句过长换行问题
  15. android rxbus github,RxBus
  16. android穿山甲主题冲突,Flutter 接头条穿山甲广告 Android 总述篇
  17. Axios GET 不能设置Content-Type
  18. Android9如何看错误信息提示快速解决问题
  19. OSChina 周三乱弹 ——身为同事就要互相伤害么?
  20. 使用多个icon 字体图标库样式冲突问题

热门文章

  1. 常见硬件原理图中的“英文缩写”大全,以后只看名字就能看懂原理图!
  2. 读者写者问题(超级详细的分析读者优先,读写平等,写者优先)
  3. 计算机诺贝尔科学家,由哪位科学家命名的奖项被称为计算机领域的诺贝尔奖?...
  4. 《要领:斯坦福校长领导十得》读书摘记
  5. KeepAlive详解
  6. 计算机X线摄影实验报告,医学影像学成长理论实验报告.doc
  7. Is the server running on host 192.168.121.128 and accepting TCP/IP connections on port 5432?
  8. 自己的第一款微信公众号产品开发完成,已上线,欢迎大家拍砖
  9. Matlab画阶跃函数
  10. 首次实战安卓App《第一行代码》欧酷天气遇到的一些问题总结