一个网站,如果网站目录权限设置的不严格,很可能导致黑客绕过路径限制进入系统中的其他目录,对于一些有在线编辑和管理文件功能的网站,这种危害会被放大,攻击者可以轻松的编辑一个网页木马程序从而轻易的掌握整个服务器。
对于此类攻击,一方面在程序上应该严格测试,另一方面应该在服务器目录权限上下功夫,禁止web匿名用户访问网站目录以外的地方。
其次可以利用WAF类产品进行严格的path访问限制或业务访问逻辑,从而避免危害。下面是一个path bypass攻击示例。
1.该网站具有在线文件编辑功能,仔细分析器URI,发现系统是根据URI中的参数传递path ,则可以通过构造特殊的path参数实现对其他网站目录的访问
2.截取request请求
点击可看大图
3.构造新的request
点击可看大图
4.结果,网页已经显示的是别的网站下的文件内容
这样就可以轻松的注入木马文件了。
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
相关推荐
-
实施虚拟化:管理员应避免五大安全错误
如今,有约50%的服务器负载在虚拟机上运行,并且在未来的几年还要增加。虚拟化带来很多好处,也不可避免地带来许多由其自身产生的威胁……
-
社交游戏暗藏风险 趋势科技提醒用户谨慎参与
趋势科技提醒用户在参加“测试”的时候,要谨慎提供个人信息,不要轻信任何在社交平台上向自己借钱的请求。
-
警惕!Heartbleed还在继续
自从Heartbleed漏洞被公开以来,虽然受影响的服务器的总数在降低,但新发现的仍受该漏洞影响的服务器的数量却仍在增加。
-
企业系统安全管理和强化的十个建议(二)
许多运行在的服务器上的服务并不需要超级用户权限来执行他们的功能。通常,他们不需要任何特殊权限以外的读取和写入数据目录的能力。