pg电子游戏软件,类似车行168的软件,单机游戏内购破解平台,今日打牌财神方位查询老黄历

介紹一下如何利用路徑遍歷進行攻擊及如何防范筆試題目

時間:2020-11-18 14:22:14 筆試題目 我要投稿

介紹一下如何利用路徑遍歷進行攻擊及如何防范筆試題目

  如果應用程序使用用戶可控制的數據,以危險的'方式訪問位于應用服務器或其它后端文件系統的文件或目錄,就會出現路徑遍歷

介紹一下如何利用路徑遍歷進行攻擊及如何防范筆試題目

  String rurl = request.getParameter(“rurl”);

  BufferedWriter utput2 = new BufferedWriter(new FileWriter(new File(“/home/chenyz/”+rurl)));

  攻擊者可以將路徑遍歷序列放入文件名內,向上回溯,從而訪問服務器上的任何文件,路徑遍歷序列叫“點-點-斜線”(..\)

  http://***/go.action?file=..\..\etc\passwd

  避開過濾

  第一種是過濾文件名參數中是否存在任何路徑遍歷序列(..\)

  如果程序嘗試刪除(..\)來凈化用戶輸入,可以用

  ….// ….\/ …./\ ….\\

  進行URL編碼

  點–>%2e 反斜杠–>%2f 正斜杠–>%5c

  進行16為Unicode編碼

  點–>%u002e 反斜杠–>%u2215 正斜杠–>%u2216

  進行雙倍URL編碼

  點–>%252e 反斜杠–>%u252f 正斜杠–>%u255c

  進行超長UTF-8 Unicode編碼

  點–>%c0%2e %e0$40%ae %c0ae

  反斜杠–>%c0af %e0%80af %c0%af

  正斜杠–>%c0%5c %c0%80%5c

  預防路徑遍歷的方法:

  1.對用戶提交的文件名進行相關解碼與規范化

  2.程序使用一個硬編碼,被允許訪問的文件類型列表

  3.使用getCanonicalPath方法檢查訪問的文件是否位于應用程序指定的起始位置

【介紹一下如何利用路徑遍歷進行攻擊及如何防范筆試題目】相關文章:

如何防范勒索軟件攻擊08-09

談談如何防范ARP攻擊10-30

如何利用暑期進行考研復習08-22

如何利用社交媒體進行銷售09-05

物業企業如何利用制度進行管理08-26

如何利用ps進行遙感影像的色彩處理11-15

企業如何利用稅法規定進行納稅籌劃10-10

護士面試如何進行自我介紹及范文11-05

研計算機如何利用暑假進行高效復習07-26

主站蜘蛛池模板: 成武县| 买车| 沾化县| 象山县| 新源县| 萍乡市| 武威市| 饶平县| 清原| 肥西县| 平武县| 阿合奇县| 偏关县| 乐昌市| 武冈市| 阜阳市| 桂平市| 什邡市| 华阴市| 阿克陶县| 永胜县| 陆丰市| 襄城县| 平阴县| 遂宁市| 金寨县| 河西区| 额敏县| 随州市| 射阳县| 东乌珠穆沁旗| 衡东县| 拜泉县| 威宁| 钟山县| 明星| 仲巴县| 宜阳县| 通辽市| 康保县| 茌平县|