ディレクトリトラバーサル攻撃によって直接どのような被害が生じる可能性がありますか?

ディレクトリ トラバーサル攻撃の害: パス トラバーサルの脆弱性により、悪意のある攻撃者が Web アプリケーションのセキュリティ制御を突破し、構成ファイル、ログ、ソース コードなど、攻撃者が必要とする機密データに直接アクセスできます。サーバーが正常に動作しておらず、Web サイトが麻痺しています。

このチュートリアルの動作環境: Windows 7 システム、Dell G3 コンピューター。

メリットはさらに複雑です。見栄を張るだけで基本的にメリットのない小規模な DDoS 攻撃者もいます。しかし、組織的で目的を持った DDoS 攻撃には複雑な利益の連鎖があります。一般に、詐欺師が存在します。 . 攻撃者に支払います。被害者にとって被害となるのはウェブサイトであり、ウェブサイトが設置されているサーバーが正常に動作しなくなり、ウェブサイトが麻痺してしまいます。被害は大きいですね。

パス トラバーサルの脆弱性により、悪意のある攻撃者が Web アプリケーションのセキュリティ制御を突破し、構成ファイル、ログ、ソース コードなどを含む、攻撃者が必要とする機密データに直接アクセスすることが可能になります。また、その他の機能を包括的に利用することもできます。より高い権限を簡単に取得できるため、脆弱性の発見も非常に簡単です Web アプリケーションの読み取りおよび書き込み機能ブロックが手動で直接検出され、返されたページのコンテンツによって判断される限り、非常に直感的ですまた、比較的簡単です。

#拡張情報

ディレクトリ トラバーサル攻撃

1. 説明

攻撃者は次のパスを通過しました。ディレクトリコンビニエンス攻撃により、システムファイル、サーバー設定ファイルなどが取得される可能性があります。一般的に、彼らはサーバー API を悪用し、標準のアクセス許可をファイルして攻撃を実行します。厳密に言えば、ディレクトリ トラバーサル攻撃は Web の脆弱性ではなく、Web サイト設計者の設計の「脆弱性」です。

Web デザイナーが http トラバーサルを許可する適切なアクセス制御を行わずに Web コンテンツを設計した場合、攻撃者は制限されたディレクトリにアクセスし、Web ルート ディレクトリの外部でコマンドを実行する可能性があります。

2. 攻撃方法

攻撃者はルート ディレクトリにアクセスし、一連の「../」文字を送信して上位ディレクトリを横断し、システム コマンドを実行してシステムをクラッシュさせることもできます。 。

3. 脆弱性の発見

1. Web 脆弱性スキャナーを使用して Web アプリケーションをスキャンできます。脆弱性を見つけるだけでなく、解決策も提供します。さらに、次のようなことも発見できます。 SQL の脆弱性とその他の脆弱性があります。

2. ウェブログを確認することもできます。権限のないユーザーがクロスレベル ディレクトリにアクセスしたことが判明した場合は、ディレクトリの利便性に関する脆弱性があることを意味します。

4. 防ぐ方法

ディレクトリ トラバーサル攻撃の脆弱性を防ぐ最も効果的な方法は、アクセス許可を制御し、ファイル システム API に渡されるパラメーターを慎重に処理することです。最良の予防方法は、次の 2 つの方法を組み合わせて使用​​することだと思います:

1. データの純化: ユーザーによって渡されたファイル名パラメーターをハードコーディングまたは均一にコーディングし、ファイル タイプをホワイトリストに登録し、制御します。悪意のある文字または空の文字を含むパラメータを含むファイルは拒否されます。

2. Web アプリケーションは、chrooted 環境を使用してアクセスされた Web ディレクトリを含めたり、絶対パス + パラメータを使用してファイル ディレクトリにアクセスしたりできるため、権限を超えた場合でもアクセスされたディレクトリ内にファイルが含まれます。 www ディレクトリは chroot アプリケーションです。

コンピュータ関連の知識について詳しくは、

FAQ 列をご覧ください。

以上がディレクトリトラバーサル攻撃によって直接どのような被害が生じる可能性がありますか?の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。