0

我记得前段时间读过有人如何从网站访问您的计算机文件系统。我想知道怎么做,所以我可以测试并防止它发生。

通过 XAMPP 在 Windows 上运行 Apache 2.4

我的虚拟主机设置如下:

<VirtualHost *:80>
    ServerName local.scrap
    DocumentRoot "D:/Dropbox/www/scrap/public_html/"
    <Directory "D:/Dropbox/www/scrap/">
    Order allow,deny
    Allow from all
    Require all granted
    </Directory>
    ErrorLog "D:/Dropbox/www/scrap/logs/error.log"
</VirtualHost>

有一个index2.htmlinscrap/index.htmlinscrap/public_html/

主机设置为127.0.0.1 local.scrap

如果我键入 URL http://local.scrap/,我会得到 index.html。http://local.scrap/../index2.html如果我键入它会被重定向到的 URLhttp://local.scrap/index2.html

为什么 ../ URL 被重定向到 DocumentRoot 路径?

4

2 回答 2

1

通常,非恶意用户代理会在联系服务器之前解析 URL 中的 ../。但即便如此,网络服务器也被设计为不允许在上下文根之外进行这种目录遍历。

您需要使用 telnet/netcat/s_client 进行测试才能确定。

于 2015-08-14T16:34:30.097 回答
0

如果网站应用程序代码中存在目录遍历LFI漏洞,那么这确实是可能的。

此外,一些网络服务器存在目录遍历漏洞。但是,当前版本的 Apache 在这方面没有已知的弱点。

于 2015-08-17T08:13:21.337 回答