ToB企服应用市场:ToB评测及商务社交产业平台

标题: 目录遍历-基于Pikachu的学习 [打印本页]

作者: 刘俊凯 时间: 2024-5-19 08:58
标题: 目录遍历-基于Pikachu的学习
目录遍历

原理

目录浏览漏洞是由于网站存在设置缺陷，存在目录可浏览漏洞，这会导致网站很多隐私文件与目录泄露，比如数据库备份文件、设置文件等，攻击者利用该信息可以更轻易得到网站权限，导致网站被黑。
Pikachu

打开题目就是两个超链接，我随便点了一个发现url发现变革,有一个参数值title去控制读取文件的

然后我输入了

title=../

复制代码

发现了报错路径

发现他实在dir_list.php去读取的文件是在同一个文件夹下面的一个soup文件夹
我在D:\Tools\phpstudy_pro\WWW\pikachu-master已经写好了一个password的文本，所以我们去试着访问一下
payload:

title=../../../password.txt

复制代码

也是成功访问了，这就是目录遍历
防护步伐

目录遍历漏洞原理及其防御方法_预防路径遍历漏洞的方法-CSDN博客

1.对用户的输入进行验证，特别是路径替代字符如“../”和“~/”。
2.尽可能采用白名单的形式，验证所有的输入。
3.合理配置Web服务器的目录权限。
4.当程序出错时，不要显示内部相关配置细节。
5.对用户传过来的文件名参数进行统一编码，对包含恶意字符或者空字符的参数进行拒绝。

复制代码

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。

欢迎光临 ToB企服应用市场:ToB评测及商务社交产业平台 (https://dis.qidao123.com/)