目錄遍歷漏洞在國(guó)內(nèi)外有許多不同的叫法,比如也可以叫做信息泄露漏洞,非授權(quán)文件包含漏洞.名稱(chēng)雖然多,可他們卻有一個(gè)共同的成因,就是在程序中沒(méi)有過(guò)濾用戶(hù)輸入的../和./之類(lèi)的目錄跳轉(zhuǎn)符,導(dǎo)致惡意用戶(hù)可以通過(guò)提交目錄跳轉(zhuǎn)來(lái)遍歷服務(wù)器上的任意文件,其危害可想而知.這類(lèi)漏洞大家比較熟悉的可能就是在一些郵件列表程序以及網(wǎng)絡(luò)硬盤(pán)程序中,其實(shí)這類(lèi)漏洞還廣泛存在與一些國(guó)外的BLOG程序中,這類(lèi)漏洞大概分兩種下面就來(lái)通過(guò)實(shí)例來(lái)說(shuō)明這類(lèi)漏洞是如何產(chǎn)生以及該如何防范.

　　首先,我們來(lái)看一個(gè)國(guó)外的BLOG,前幾天從網(wǎng)上下了一個(gè)名為L(zhǎng)oudBlog的BLOG程序,

　　在它的index.php頁(yè)面中看到如下代碼:

//build an include-path from the url-request
　　else {
　　$loadme = "inc/backend_" . $_GET['page'] . ".php";
　　}
　　//yee-hah! finally we do show real content on our page!
　　include ($loadme);
　　?>        

        

        
        
      
        
it知識(shí)庫(kù)：淺析PHP程序中的目錄遍歷漏洞，轉(zhuǎn)載需保留來(lái)源！
        
鄭重聲明：本文版權(quán)歸原作者所有，轉(zhuǎn)載文章僅為傳播更多信息之目的，如作者信息標(biāo)記有誤，請(qǐng)第一時(shí)間聯(lián)系我們修改或刪除，多謝。