0

少し前に、誰かが Web サイトからあなたのコンピュータのファイル システムにアクセスできる方法を読んだことを覚えています。その方法を知りたいので、テストして発生を防ぐことができます。

XAMPP 経由で Wi​​ndows で Apache 2.4 を実行する

私の仮想ホストは次のように設定されています:

<VirtualHost *:80>
    ServerName local.scrap
    DocumentRoot "D:/Dropbox/www/scrap/public_html/"
    <Directory "D:/Dropbox/www/scrap/">
    Order allow,deny
    Allow from all
    Require all granted
    </Directory>
    ErrorLog "D:/Dropbox/www/scrap/logs/error.log"
</VirtualHost>

index2.htmlscrap/index.html中がありますscrap/public_html/

ホストは次のように設定されています127.0.0.1 local.scrap

URLhttp://local.scrap/を入力すると、index.html が表示されます。URLを入力http://local.scrap/../index2.htmlすると、リダイレクトされますhttp://local.scrap/index2.html

../ URL が DocumentRoot パスにリダイレクトされるのはなぜですか?

4

2 に答える 2

1

多くの場合、悪意のないユーザー エージェントは、サーバーに接続する前に URL の ../ を解決します。しかし、それがなくても、Web サーバーは、コンテキスト ルートの外でそのようなディレクトリ トラバーサルを許可しないように設計されています。

確認するには、telnet/netcat/s_client でテストする必要があります。

于 2015-08-14T16:34:30.097 に答える
0

Web サイトのアプリケーション コードにディレクトリ トラバーサルまたはLFIの脆弱性がある場合、これは実際に可能である可能性があります。

また、一部のWeb サーバーにはディレクトリ トラバーサルの脆弱性があります。ただし、Apache の現在のバージョンには、この点に関する既知の弱点はありません。

于 2015-08-17T08:13:21.337 に答える