web目录遍历
A. 怎么能遍历Web服务器的目录
一般来讲是不允许的。你只能从主页文件开始,搜索所有链接。
B. 目录遍历攻击可以直接带来哪些危害
受益来说比较复杂,有一些小型ddos攻击者,只是为了虚荣心,基本没有什么利益但是有组织,有目的的ddos攻击,是有复杂的利益链,一般都会有上家付钱给攻击者。对于被害者来说,危害就是网站,设置网站所在服务器不能正常工作,网站瘫痪。损害很大。
(2)web目录遍历扩展阅读
目录遍历攻击
一、描述
攻击人员通过目录便利攻击可以获取系统文件及服务器的配置文件等等。一般来说,他们利用服务器API、文件标准权限进行攻击。严格来说,目录遍历攻击并不是一种web漏洞,而是网站设计人员的设计“漏洞”。
如果web设计者设计的web内容没有恰当的访问控制,允许http遍历,攻击者就可以访问受限的目录,并可以在web根目录以外执行命令。
二、攻击方法
攻击者通过访问根目录,发送一系列”../”字符来遍历高层目录,并且可以执行系统命令,甚至使系统崩溃。
三、发现漏洞
1、可以利用web漏洞扫描器扫描一下web应用,不仅可以找出漏洞,还会提供解决办法,另外还可以发现是否存在sql漏洞及其他漏洞。
2、也可以查看weblog,如果发现有未授权用户访问越级目录,说明有目录便利漏洞。
四、如何防范
防范目录遍历攻击漏洞,最有效的办法就是权限控制,谨慎处理传向文件系统API的参数。本人认为最好的防范方法就是组合使用下面两条:
1、净化数据:对用户传过来的文件名参数进行硬编码或统一编码,对文件类型进行白名单控制,对包含恶意字符或者空字符的参数进行拒绝。
2、web应用程序可以使用chrooted环境包含被访问的web目录,或者使用绝对路径+参数来访问文件目录,时使其即使越权也在访问目录之内。www目录就是一个chroot应用。
C. 如何防止目录遍历
防范目录遍历攻击漏洞,最有效的办法就是权限控制,谨慎处理传向文件回系统答API的参数。
防范方法就是组合使用下面两条:
1、净化数据:对用户传过来的文件名参数进行硬编码或统一编码,对文件类型进行白名单控制,对包含恶意字符或者空字符的参数进行拒绝。
2、web应用程序可以使用chrooted环境包含被访问的web目录,或者使用绝对路径+参数来访问文件目录,时使其即使越权也在访问目录之内。
D. 如何遍历一个web应用的目录文件
配置Index Server
在执行Web服务器上的搜索之前,首先必须创建至少一个索引,并遵循以下步骤完成这项工作。
⒈启动Windows 2000 Server服务器上的索引。
缺省情况下选择图标位于管理工具组中的计算机管理。窗口的右边提供关于当前在服务器上
存在的索引信息。默认有两个索引:System和Web。
⒉要创建新的索引,用鼠标右键单击索引服务或右边的面板,选定新建编录。
显示添加编录对话框,指定索引的名称并用浏览按钮选取位置。索引服务不会立即开始索引,此时将弹出一条消息框,单
击确定继续。为了达到最佳的性能,索引服务可以放在和Web服务器隔离开的硬盘上。
⒊指定索引的目录,用右键单击新建的编录名,从弹出选单中选定属性,将出现如图2所示的对话框。
第一个选项卡常规显示刚刚输入的内容,在第二个选项卡跟踪中的WWW服务器下拉列表中选取你要索引的Web网站。
⒋有了创建的编录,现在可以挑选你想在索引中包括的目录。
这个强大的特性使你能创建几个用不同方式搜索内容的索引。例如,你可能想快速浏览从完整的文本中所引出的章节,这
个特性使你能在Index Server内执行这项任务。要添加一个目录,用右键单击右边的面板,选定新建目录。在出现的对话
框中通过浏览按钮选择目录并指定别名。如果必须登录到服务器才能得到需要的内容,则可以提供将使用的用户名和密
码,以便得到需要的内容。如果想检查受保护的内容,则更要维护内容的安全性,这一特性非常有用,这样只有被授权的
用户(也许是那些为此付钱的人)才能得到完整的内容。
还可以使用这个工具排除Web站点中不想索引的子目录。例如,检索Scripts/CGI目录就不会对用户有什么用。为此,只要
双击该目录,将包括在索引中选定为否即可,见图3。
⒌在已经为站点包括/排除了所有目录后,用右键单击右面板,从弹出选单中选定启动,重新启动Index Server服务。
服务器将开始浏览已经创建的索引并开始检索内容。
E. websphere怎么防止目录遍历漏洞
漏洞是系统研发的时候没考虑到的情况,所以系统要不断的修补漏洞,你可以下载个360安全卫士,来修补漏洞,一般不会出现很多漏洞...
F. 怎么解决web服务器目录遍历问题
目录遍历啊 你是sql的还是什么的额? iis设置里主目录里面有个 目录浏览 把前面的钩去掉
G. WINDOWSxp的远程web服务器是受一个目录遍历漏洞 这个要怎么解决
这个简单,设置目录权限就可以了啊~
如果不懂 加QQ:155-7531284
H. C# 如何遍历Web文件夹
public void FoundFile()
{ DirectoryInfo di = new DirectoryInfo(Server.MapPath("~/uploads/"));
DataTable dt = new DataTable();
dt.Columns.Add("imgurl", typeof(String));
foreach (FileInfo fi in di.GetFiles())
{
DataRow dr = dt.NewRow();
dr[0] = Server.MapPath("uploads/")+fi.Name;
dt.Rows.Add(dr);
} this.DataList1.DataSource = dt;
this.DataList1.DataBind();
}
I. 如何遍历WEB文件夹下所有HTML文件进行关键字搜索问题
配置Index Server
在执行Web服务器上的搜索之前,首先必须创建至少一个索引,并遵循以下步骤完成这项工作。
⒈启动Windows 2000 Server服务器上的索引。
缺省情况下选择图标位于管理工具组中的计算机管理。窗口的右边提供关于当前在服务器上
存在的索引信息。默认有两个索引:System和Web。
⒉要创建新的索引,用鼠标右键单击索引服务或右边的面板,选定新建编录。
显示添加编录对话框,指定索引的名称并用浏览按钮选取位置。索引服务不会立即开始索引,此时将弹出一条消息框,单
击确定继续。为了达到最佳的性能,索引服务可以放在和Web服务器隔离开的硬盘上。
⒊指定索引的目录,用右键单击新建的编录名,从弹出选单中选定属性,将出现如图2所示的对话框。
第一个选项卡常规显示刚刚输入的内容,在第二个选项卡跟踪中的WWW服务器下拉列表中选取你要索引的Web网站。
⒋有了创建的编录,现在可以挑选你想在索引中包括的目录。
这个强大的特性使你能创建几个用不同方式搜索内容的索引。例如,你可能想快速浏览从完整的文本中所引出的章节,这
个特性使你能在Index Server内执行这项任务。要添加一个目录,用右键单击右边的面板,选定新建目录。在出现的对话
框中通过浏览按钮选择目录并指定别名。如果必须登录到服务器才能得到需要的内容,则可以提供将使用的用户名和密
码,以便得到需要的内容。如果想检查受保护的内容,则更要维护内容的安全性,这一特性非常有用,这样只有被授权的
用户(也许是那些为此付钱的人)才能得到完整的内容。
还可以使用这个工具排除Web站点中不想索引的子目录。例如,检索Scripts/CGI目录就不会对用户有什么用。为此,只要
双击该目录,将包括在索引中选定为否即可,见图3。
⒌在已经为站点包括/排除了所有目录后,用右键单击右面板,从弹出选单中选定启动,重新启动Index Server服务。
服务器将开始浏览已经创建的索引并开始检索内容。
J. 什么是目录遍历攻击及如何防护
击人员通过目录便利攻击可以获取系统文件及服务器的配置文件等等。一般来说,他们利用服务器API、文件标准权限进行攻击。严格来说,目录遍历攻击并不是一种web漏洞,而是网站设计人员的设计“漏洞”。如果web设计者设计的web内容没有恰当的访问控制,允许http遍历,攻击者就可以访问受限的目录,并可以在web根目录以外执行命令。
攻击方法
攻击者通过访问根目录,发送一系列”../”字符来遍历高层目录,并且可以执行系统命令,甚至使系统崩溃。
发现漏洞
1、可以利用web漏洞扫描器扫描一下web应用,不仅可以找出漏洞,还会提供解决办法,另外还可以发现是否存在sql漏洞及其他漏洞。 2、也可以查看web log,如果发现有未授权用户访问越级目录,说明有目录便利漏洞。
如何防范
防范目录遍历攻击漏洞,最有效的办法就是权限控制,谨慎处理传向文件系统API的参数。本人认为最好的防范方法就是组合使用下面两条:
1、净化数据:对用户传过来的文件名参数进行硬编码或统一编码,对文件类型进行白名单控制,对包含恶意字符或者空字符的参数进行拒绝。
2、web应用程序可以使用chrooted环境包含被访问的web目录,或者使用绝对路径+参数来访问文件目录,时使其即使越权也在访问目录之内。www目录就是一个chroot应用。
chroot
chroot是在unix系统的一个操作,针对正在运作的软件进程和它的子进程,改变它外显的根目录。一个运行在这个环境下,经由chroot设置根目录的程序,它不能够对这个指定根目录之外的文件进行访问动作,不能读取,也不能更改它的内容。chroot这一特殊表达可能指chroot(2)系统调用或chroot(8)前端程序。
由chroot创造出的那个根目录,叫做“chroot监狱”(chroot jail,或chroot prison)。more chroot使用