目錄遍歷 Path Traversal

    常見的駭客攻擊手法之一,利用../來訪問上層目錄以存取網站私密檔案,如linux系統下的/etc/passwd、asp.net網站的web.config檔案等。

    假設有一網站www.test.com,其首頁為www.test.com/index,若網站權限設置不當則攻擊者可利用../訪問網站任意資料夾或檔案,如 www.test.com/index/../web.config會被解析為 www.test.com/web.config, 即可取得放置在網站根目錄的web.config。

    應對目錄遍歷的方式有幾種:設置好權限、驗證使用者傳入網址、設置白名單。