web目錄遍歷
A. 怎麼能遍歷Web伺服器的目錄
一般來講是不允許的。你只能從主頁文件開始,搜索所有鏈接。
B. 目錄遍歷攻擊可以直接帶來哪些危害
受益來說比較復雜,有一些小型ddos攻擊者,只是為了虛榮心,基本沒有什麼利益但是有組織,有目的的ddos攻擊,是有復雜的利益鏈,一般都會有上家付錢給攻擊者。對於被害者來說,危害就是網站,設置網站所在伺服器不能正常工作,網站癱瘓。損害很大。
(2)web目錄遍歷擴展閱讀
目錄遍歷攻擊
一、描述
攻擊人員通過目錄便利攻擊可以獲取系統文件及伺服器的配置文件等等。一般來說,他們利用伺服器API、文件標准許可權進行攻擊。嚴格來說,目錄遍歷攻擊並不是一種web漏洞,而是網站設計人員的設計「漏洞」。
如果web設計者設計的web內容沒有恰當的訪問控制,允許http遍歷,攻擊者就可以訪問受限的目錄,並可以在web根目錄以外執行命令。
二、攻擊方法
攻擊者通過訪問根目錄,發送一系列」../」字元來遍歷高層目錄,並且可以執行系統命令,甚至使系統崩潰。
三、發現漏洞
1、可以利用web漏洞掃描器掃描一下web應用,不僅可以找出漏洞,還會提供解決辦法,另外還可以發現是否存在sql漏洞及其他漏洞。
2、也可以查看weblog,如果發現有未授權用戶訪問越級目錄,說明有目錄便利漏洞。
四、如何防範
防範目錄遍歷攻擊漏洞,最有效的辦法就是許可權控制,謹慎處理傳向文件系統API的參數。本人認為最好的防範方法就是組合使用下面兩條:
1、凈化數據:對用戶傳過來的文件名參數進行硬編碼或統一編碼,對文件類型進行白名單控制,對包含惡意字元或者空字元的參數進行拒絕。
2、web應用程序可以使用chrooted環境包含被訪問的web目錄,或者使用絕對路徑+參數來訪問文件目錄,時使其即使越權也在訪問目錄之內。www目錄就是一個chroot應用。
C. 如何防止目錄遍歷
防範目錄遍歷攻擊漏洞,最有效的辦法就是許可權控制,謹慎處理傳向文件回系統答API的參數。
防範方法就是組合使用下面兩條:
1、凈化數據:對用戶傳過來的文件名參數進行硬編碼或統一編碼,對文件類型進行白名單控制,對包含惡意字元或者空字元的參數進行拒絕。
2、web應用程序可以使用chrooted環境包含被訪問的web目錄,或者使用絕對路徑+參數來訪問文件目錄,時使其即使越權也在訪問目錄之內。
D. 如何遍歷一個web應用的目錄文件
配置Index Server
在執行Web伺服器上的搜索之前,首先必須創建至少一個索引,並遵循以下步驟完成這項工作。
⒈啟動Windows 2000 Server伺服器上的索引。
預設情況下選擇圖標位於管理工具組中的計算機管理。窗口的右邊提供關於當前在伺服器上
存在的索引信息。默認有兩個索引:System和Web。
⒉要創建新的索引,用滑鼠右鍵單擊索引服務或右邊的面板,選定新建編錄。
顯示添加編錄對話框,指定索引的名稱並用瀏覽按鈕選取位置。索引服務不會立即開始索引,此時將彈出一條消息框,單
擊確定繼續。為了達到最佳的性能,索引服務可以放在和Web伺服器隔離開的硬碟上。
⒊指定索引的目錄,用右鍵單擊新建的編錄名,從彈出選單中選定屬性,將出現如圖2所示的對話框。
第一個選項卡常規顯示剛剛輸入的內容,在第二個選項卡跟蹤中的WWW伺服器下拉列表中選取你要索引的Web網站。
⒋有了創建的編錄,現在可以挑選你想在索引中包括的目錄。
這個強大的特性使你能創建幾個用不同方式搜索內容的索引。例如,你可能想快速瀏覽從完整的文本中所引出的章節,這
個特性使你能在Index Server內執行這項任務。要添加一個目錄,用右鍵單擊右邊的面板,選定新建目錄。在出現的對話
框中通過瀏覽按鈕選擇目錄並指定別名。如果必須登錄到伺服器才能得到需要的內容,則可以提供將使用的用戶名和密
碼,以便得到需要的內容。如果想檢查受保護的內容,則更要維護內容的安全性,這一特性非常有用,這樣只有被授權的
用戶(也許是那些為此付錢的人)才能得到完整的內容。
還可以使用這個工具排除Web站點中不想索引的子目錄。例如,檢索Scripts/CGI目錄就不會對用戶有什麼用。為此,只要
雙擊該目錄,將包括在索引中選定為否即可,見圖3。
⒌在已經為站點包括/排除了所有目錄後,用右鍵單擊右面板,從彈出選單中選定啟動,重新啟動Index Server服務。
伺服器將開始瀏覽已經創建的索引並開始檢索內容。
E. websphere怎麼防止目錄遍歷漏洞
漏洞是系統研發的時候沒考慮到的情況,所以系統要不斷的修補漏洞,你可以下載個360安全衛士,來修補漏洞,一般不會出現很多漏洞...
F. 怎麼解決web伺服器目錄遍歷問題
目錄遍歷啊 你是sql的還是什麼的額? iis設置里主目錄裡面有個 目錄瀏覽 把前面的鉤去掉
G. WINDOWSxp的遠程web伺服器是受一個目錄遍歷漏洞 這個要怎麼解決
這個簡單,設置目錄許可權就可以了啊~
如果不懂 加QQ:155-7531284
H. C# 如何遍歷Web文件夾
public void FoundFile()
{ DirectoryInfo di = new DirectoryInfo(Server.MapPath("~/uploads/"));
DataTable dt = new DataTable();
dt.Columns.Add("imgurl", typeof(String));
foreach (FileInfo fi in di.GetFiles())
{
DataRow dr = dt.NewRow();
dr[0] = Server.MapPath("uploads/")+fi.Name;
dt.Rows.Add(dr);
} this.DataList1.DataSource = dt;
this.DataList1.DataBind();
}
I. 如何遍歷WEB文件夾下所有HTML文件進行關鍵字搜索問題
配置Index Server
在執行Web伺服器上的搜索之前,首先必須創建至少一個索引,並遵循以下步驟完成這項工作。
⒈啟動Windows 2000 Server伺服器上的索引。
預設情況下選擇圖標位於管理工具組中的計算機管理。窗口的右邊提供關於當前在伺服器上
存在的索引信息。默認有兩個索引:System和Web。
⒉要創建新的索引,用滑鼠右鍵單擊索引服務或右邊的面板,選定新建編錄。
顯示添加編錄對話框,指定索引的名稱並用瀏覽按鈕選取位置。索引服務不會立即開始索引,此時將彈出一條消息框,單
擊確定繼續。為了達到最佳的性能,索引服務可以放在和Web伺服器隔離開的硬碟上。
⒊指定索引的目錄,用右鍵單擊新建的編錄名,從彈出選單中選定屬性,將出現如圖2所示的對話框。
第一個選項卡常規顯示剛剛輸入的內容,在第二個選項卡跟蹤中的WWW伺服器下拉列表中選取你要索引的Web網站。
⒋有了創建的編錄,現在可以挑選你想在索引中包括的目錄。
這個強大的特性使你能創建幾個用不同方式搜索內容的索引。例如,你可能想快速瀏覽從完整的文本中所引出的章節,這
個特性使你能在Index Server內執行這項任務。要添加一個目錄,用右鍵單擊右邊的面板,選定新建目錄。在出現的對話
框中通過瀏覽按鈕選擇目錄並指定別名。如果必須登錄到伺服器才能得到需要的內容,則可以提供將使用的用戶名和密
碼,以便得到需要的內容。如果想檢查受保護的內容,則更要維護內容的安全性,這一特性非常有用,這樣只有被授權的
用戶(也許是那些為此付錢的人)才能得到完整的內容。
還可以使用這個工具排除Web站點中不想索引的子目錄。例如,檢索Scripts/CGI目錄就不會對用戶有什麼用。為此,只要
雙擊該目錄,將包括在索引中選定為否即可,見圖3。
⒌在已經為站點包括/排除了所有目錄後,用右鍵單擊右面板,從彈出選單中選定啟動,重新啟動Index Server服務。
伺服器將開始瀏覽已經創建的索引並開始檢索內容。
J. 什麼是目錄遍歷攻擊及如何防護
擊人員通過目錄便利攻擊可以獲取系統文件及伺服器的配置文件等等。一般來說,他們利用伺服器API、文件標准許可權進行攻擊。嚴格來說,目錄遍歷攻擊並不是一種web漏洞,而是網站設計人員的設計「漏洞」。如果web設計者設計的web內容沒有恰當的訪問控制,允許http遍歷,攻擊者就可以訪問受限的目錄,並可以在web根目錄以外執行命令。
攻擊方法
攻擊者通過訪問根目錄,發送一系列」../」字元來遍歷高層目錄,並且可以執行系統命令,甚至使系統崩潰。
發現漏洞
1、可以利用web漏洞掃描器掃描一下web應用,不僅可以找出漏洞,還會提供解決辦法,另外還可以發現是否存在sql漏洞及其他漏洞。 2、也可以查看web log,如果發現有未授權用戶訪問越級目錄,說明有目錄便利漏洞。
如何防範
防範目錄遍歷攻擊漏洞,最有效的辦法就是許可權控制,謹慎處理傳向文件系統API的參數。本人認為最好的防範方法就是組合使用下面兩條:
1、凈化數據:對用戶傳過來的文件名參數進行硬編碼或統一編碼,對文件類型進行白名單控制,對包含惡意字元或者空字元的參數進行拒絕。
2、web應用程序可以使用chrooted環境包含被訪問的web目錄,或者使用絕對路徑+參數來訪問文件目錄,時使其即使越權也在訪問目錄之內。www目錄就是一個chroot應用。
chroot
chroot是在unix系統的一個操作,針對正在運作的軟體進程和它的子進程,改變它外顯的根目錄。一個運行在這個環境下,經由chroot設置根目錄的程序,它不能夠對這個指定根目錄之外的文件進行訪問動作,不能讀取,也不能更改它的內容。chroot這一特殊表達可能指chroot(2)系統調用或chroot(8)前端程序。
由chroot創造出的那個根目錄,叫做「chroot監獄」(chroot jail,或chroot prison)。more chroot使用