问题标签 [directory-traversal]

有没有一种方法可以获取我网站中的所有 .aspx 文件？也许遍历站点的文件结构并添加到数组中？

我正在从http://www.perlmonks.org/index.pl?node_id=217166转换一个 linux 脚本，具体如下：

我的尝试是：

但是，当脚本尝试删除一个目录时，我收到一个错误，指出该目录正在被另一个进程使用（当它不是时）。有任何想法吗？我正在使用 ActiveState 5.10 在 Windows Server 2003 SP2 64 位上运行该脚本。

谢谢！

你如何用你喜欢的语言遍历目录树？

在不同操作系统中遍历目录树需要知道什么？在不同的文件系统上？

您最喜欢用于帮助遍历目录树的库/模块是什么？

我处于需要允许用户下载从 URL 动态确定的文件的情况。在下载开始之前，我需要做一些身份验证，所以下载必须先通过脚本运行。所有文件都将存储在 Web 根目录之外，以防止手动下载。

例如，以下任何内容都可能是下载链接：

• http://example.com/downloads/companyxyz/overview.pdf
• http://example.com/downloads/companyxyz/images/logo.png
• http://example.com/downloads/companyxyz/present/ppt/presentation.ppt

基本上，文件夹深度可以变化。

为了防止目录遍历，比如说： http://example.com/downloads/../../../../etc/passwd 我显然需要对 URI 进行一些检查。（注意：我没有将此信息存储在数据库中的选项，必须使用 URI）

以下正则表达式是否可以确保用户没有输入可疑内容：

我还有哪些其他选项可以确保 URI 正常？可能在 PHP 中使用 realpath？

我正在用 PHP 实现一个简单的目录列表脚本。

我想确保在打开目录句柄并echo随意获取结果之前传递的路径是安全的。

这足以确保用户发送的路径是安全的，还是我应该做其他事情来防止攻击？

有没有办法使用目录遍历攻击来执行命令？

例如，我etc/passwd像这样访问服务器的文件

有没有办法代替运行命令？像...

.....并获得输出？

在这里要清楚一点，我在我们公司的服务器中找到了这个漏洞。我希望通过证明它可以让攻击者完全访问系统来提高风险级别（或对我来说加分）

我想将目录从一个驱动器复制到另一个驱动器。我选择的目录包含许多子目录和文件。

如何使用 Qt 实现相同的功能？

假设给定的目录树大小合理：比如说像 Twisted 或 Python 这样的开源项目，遍历和迭代该目录内所有文件/目录的绝对路径的最快方法是什么？

我想从 Python 中做到这一点。os.path.walk很慢。所以我尝试了 ls -lR和tree -fi。对于一个大约有 8337 个文件（包括 tmp、pyc、test、.svn 文件）的项目：

tree似乎比 快ls -lR（虽然ls -R比 快tree，但它没有给出完整的路径）。find是最快的。

谁能想到更快和/或更好的方法？在 Windows 上，如有必要，我可能会简单地发布一个 32 位二叉树.exe 或 ls.exe。

更新 1：添加find

更新 2：我为什么要这样做？...我正在尝试对 cd、pushd 等进行智能替换，并为依赖传递路径的其他命令（更少、更多、cat、vim、tail）进行包装命令。该程序偶尔会使用文件遍历来执行此操作（例如：键入“cd sr grai pat lxml”会自动转换为“cd src/pypm/grail/patches/lxml”）。如果这个 cd 替换需要半秒钟来运行，我不会感到满意。见http://github.com/srid/pf

我的主要目标：

如果用户选择一个目录，它会扫描整个文件夹中的 mp3 文件并返回它们。如果他选择了一些 mp3 文件，它会返回它们。

返回选定的文件很容易，但扫描目录中的 mp3 并不像我最初想象的那么容易。我认为要做到这一点，我首先要决定用户是否选择了文件或目录，但是如何？因为我可以同时使用getSelectedFiles().

如何让这篇文章遵循 python 2.6 中的符号链接？