> 일반적인 문제 > 디렉터리 탐색 공격으로 인해 직접적인 피해를 입을 수 있는 것은 무엇입니까?

디렉터리 탐색 공격으로 인해 직접적인 피해를 입을 수 있는 것은 무엇입니까?

醉折花枝作酒筹
풀어 주다: 2023-01-13 00:38:09
원래의
7641명이 탐색했습니다.

디렉터리 탐색 공격의 폐해: 경로 탐색 취약점을 통해 악의적인 공격자는 웹 애플리케이션의 보안 제어를 뚫고 구성 파일, 로그, 소스 코드 등을 포함하여 공격자가 원하는 민감한 데이터에 직접 액세스할 수 있습니다. 가 제대로 작동하지 않으면 웹사이트가 마비됩니다.

디렉터리 탐색 공격으로 인해 직접적인 피해를 입을 수 있는 것은 무엇입니까?

이 튜토리얼의 운영 환경: Windows 7 시스템, Dell G3 컴퓨터.

이익 측면에서는 더 복잡합니다. 단지 허영심만 갖고 기본적으로 이익이 없는 일부 소규모 DDoS 공격은 일반적으로 이해관계가 복잡합니다. , 누군가가 공격에 대한 비용을 지불합니다. 피해자에게 피해는 홈페이지가 운영되는 서버가 제대로 작동하지 않아 홈페이지가 마비되는 상황이다. 피해가 크다.

경로 탐색 취약점을 통해 악의적인 공격자는 웹 애플리케이션의 보안 제어를 뚫고 구성 파일, 로그, 소스 코드 등 공격자가 원하는 민감한 데이터에 직접 접근할 수 있습니다. 다른 취약점을 포괄적으로 활용하면 공격자가 쉽게 얻을 수 있습니다. 더 높은 권한과 이러한 취약점은 발견하기 매우 쉽습니다. 웹 애플리케이션의 읽기 및 쓰기 기능 블록이 반환된 페이지 콘텐츠에 의해 직접 수동으로 감지되고 판단되는 한 매우 직관적이고 상대적으로 간단합니다.

디렉터리 탐색 공격으로 인해 직접적인 피해를 입을 수 있는 것은 무엇입니까?

확장정보

디렉터리 탐색 공격

1 설명

디렉터리 편의 공격을 통해 공격자는 시스템 파일, 서버 구성 파일 등을 탈취할 수 있다. 일반적으로 이들은 서버 API와 파일 표준 권한을 이용하여 공격을 수행합니다. 엄밀히 말하면 디렉터리 탐색 공격은 웹 취약점이 아니라 웹사이트 디자이너의 설계 "취약성"입니다.

웹 디자이너가 http 통과를 허용하는 적절한 액세스 제어 없이 웹 콘텐츠를 설계하는 경우 공격자는 제한된 디렉터리에 액세스하고 웹 루트 디렉터리 외부에서 명령을 실행할 수 있습니다.

2. 공격 방법

공격자는 루트 디렉터리에 접근하여 일련의 "../" 문자를 전송하여 상위 디렉터리를 탐색하며 시스템 명령을 실행하고 심지어 시스템을 충돌시킬 수도 있습니다.

3. 취약점 검색

1. 웹 취약점 스캐너를 사용하면 취약점을 찾을 수 있을 뿐만 아니라 SQL 취약점 및 기타 취약점도 발견할 수 있습니다.

2. 웹로그에서도 확인할 수 있습니다. 승인되지 않은 사용자가 교차 레벨 디렉토리에 액세스한 경우 디렉토리 편의성 취약점이 있음을 의미합니다.

4. 방지 방법

디렉터리 탐색 공격 취약점을 방지하는 가장 효과적인 방법은 권한을 제어하고 파일 시스템 API에 전달되는 매개 변수를 신중하게 처리하는 것입니다. 가장 좋은 예방 방법은 다음 두 가지를 조합하여 사용하는 것이라고 생각합니다.

1. 데이터 정화: 사용자가 전달한 파일 이름 매개 변수를 하드 코딩하거나 균일하게 인코딩하고, 파일 형식을 화이트리스트에 추가하고, 악성 문자가 포함된 파일을 제어합니다. 또는 공백. 문자 인수는 거부됩니다.

2. 웹 애플리케이션은 chrooted 환경을 사용하여 액세스된 웹 디렉터리를 포함하거나 절대 경로 + 매개변수를 사용하여 파일 디렉터리에 액세스할 수 있으므로 권한을 초과하더라도 여전히 액세스 디렉터리 내에 있습니다. www 디렉토리는 chroot 응용 프로그램입니다.

더 많은 컴퓨터 관련 지식을 알고 싶다면 FAQ 칼럼을 방문해주세요!

위 내용은 디렉터리 탐색 공격으로 인해 직접적인 피해를 입을 수 있는 것은 무엇입니까?의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!

관련 라벨:
원천:php.cn
본 웹사이트의 성명
본 글의 내용은 네티즌들의 자발적인 기여로 작성되었으며, 저작권은 원저작자에게 있습니다. 본 사이트는 이에 상응하는 법적 책임을 지지 않습니다. 표절이나 침해가 의심되는 콘텐츠를 발견한 경우 admin@php.cn으로 문의하세요.
인기 튜토리얼
더>
최신 다운로드
더>
웹 효과
웹사이트 소스 코드
웹사이트 자료
프론트엔드 템플릿