码迷,mamicode.com
首页 > 其他好文 > 详细

目录遍历漏洞原理及复现

时间:2020-03-03 13:02:19      阅读:113      评论:0      收藏:0      [点我收藏+]

标签:技术   ali   list   状态码   code   一个   style   image   首页   

一、IIS目录遍历漏洞原理及复现

1、原理

“目录遍历”其实并不能算是漏洞,因为它是IIS的一个功能项。在IIS中将该选项勾上,用户就可以通过目录的形式访问网站中的文件,通常这项功能被用于共享文件。但由于管理员的疏忽或经验不足,在网站中开启了这项功能, 这就造成了IIS目录遍历漏洞。

2、复现

打开IIS信息服务管理器,对网站进行进行如下设置:

 技术图片

打开浏览器,在浏览器中访问该站点,可查看到服务器上的站点文件目录:

 技术图片

 

 

 

二、Apache目录遍历漏洞

1.原理

当客户端访问到一个目录时,Apache服务器将会默认寻找一个index list中的文件,若文 件不存在,则会列出当前目录下所有文件或返回403状态码,而列出目录下所有文件的行为称为目录遍历。

2、复现

打开浏览器,访问Apache网站:

 技术图片

打开Apache配置文件httpd.conf

 技术图片

找到红色框的文件,修改或者删除该文件:

 技术图片

再次访问该网站,目录遍历漏洞复现:

 技术图片

3、修复Apache目录遍历漏洞

按照漏洞的原理,我们得到修复漏洞的方法是:当访问该站点时,如果默认的网站文件(首页文件)不存在,返回403,而不是站点的目录。因此对httpd.conf进行如下修改:

 技术图片

再次访问该站点,网站目录已不再暴露:

 技术图片

 

目录遍历漏洞原理及复现

标签:技术   ali   list   状态码   code   一个   style   image   首页   

原文地址:https://www.cnblogs.com/ynydk/p/12401419.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!