Cloud Native应用交付

  • 首页
  • 关于本站
  • 个人介绍
  • Downloads
  • Repo
    • Github
    • Container
  • F5
    • F5 Python SDK
    • F5-container
    • F5-LBaaS
  • 社交
    • 联系我
    • 微信/微博
    • 公众号
    • 打赏赞助
行至水穷处 坐看云起时
Cloud Native Application Services: cnadn.net
  1. 首页
  2. 网站技术
  3. 正文

网站路径绕过攻击

2009年08月10日 5960点热度 0人点赞 0条评论

一个网站,如果网站目录权限设置的不严格,很可能导致黑客绕过路径限制进入系统中的其他目录,对于一些有在线编辑和管理文件功能的网站,这种危害会被放大,攻击者可以轻松的编辑一个网页木马程序从而轻易的掌握整个服务器。

对于此类攻击,一方面在程序上应该严格测试,另一方面应该在服务器目录权限上下功夫,禁止web匿名用户访问网站目录以外的地方。

其次可以利用WAF类产品进行严格的path访问限制或业务访问逻辑,从而避免危害。下面是一个path bypass攻击示例。

1.该网站具有在线文件编辑功能,仔细分析器URI,发现系统是根据URI中的参数传递path ,则可以通过构造特殊的path参数实现对其他网站目录的访问

 

 

 

2.截取request请求 

 

3构造新的request 

4 结果,网页已经显示的是别的网站下的文件内容

 

这样就可以轻松的注入木马文件了。

www.myf5.net原创,转载请注明

相关文章

  • 博客环境迁移
  • 启用cloudflare免费服务
  • 本博客相关技术特性支持
  • 搞到最后已经搞不清楚谁同步谁了
  • WAF防火墙评估标准。wasc-wafec-v1.0_web应用防火墙评估标准
本作品采用 知识共享署名-非商业性使用 4.0 国际许可协议 进行许可
标签: web安全 路径攻击 path bypass
最后更新:2009年08月10日

纳米

linjing.io

打赏 点赞
< 上一篇
下一篇 >

文章评论

取消回复

此站点使用Akismet来减少垃圾评论。了解我们如何处理您的评论数据。

纳米

linjing.io

☁️迈向Cloud Native ADC ☁️

认证获得:
TOGAF: ID 152743
Kubernetes: CKA #664
Microsoft: MCSE MCDBA
Cisco: CCNP
Juniper: JNCIS
F5:
F5 Certified Solution Expert, Security
F5 Certified Technology Specialist, LTM/GTM/APM/ASM
F5 Certified BIG-IP Administrator
  • 点击查看本博技术要素列表
  • 归档
    分类
    • Automation
    • Avi Networks
    • Cisco ACI
    • CISCO资源
    • F5 with ELK
    • F5-Tech tips
    • F5技术
    • Juniper
    • Linux
    • NGINX
    • SDN
    • ServiceMesh
    • WEB编程
    • WINDOWS相关
    • 业界文章
    • 交换机技术
    • 化云为雨/Openstack
    • 协议原理
    • 容器/k8s
    • 我的工作
    • 我的生活
    • 网站技术
    • 路由器技术
    • 项目案例
    标签聚合
    flannel k8s neutron bigip irule F5 gtm network nginx envoy docker openstack DNS istio api
    最近评论
    厚嘴唇 发布于 6 个月前(02月08日) ces部署之前要提前安装kube-ovn吧?
    厚嘴唇 发布于 6 个月前(02月08日) ces部署必须是在kube-ovn网络安装好之后才可以吗
    平谷无颜祖 发布于 8 个月前(12月15日) 逐步加入dns及egress,不错不错
    minw9545 发布于 9 个月前(11月18日) 2021-11-18 23:36 现在是下午时间。
    minw9545 发布于 9 个月前(11月18日) 我放了奖励。 2021-11-18 11:36 请提供您的密码。
    浏览次数
    • Downloads - 76,651 views
    • Github - 74,375 views
    • 迄今为止最全最深入的BIGIP-DNS/GTM原理及培训资料 - 61,141 views
    • F5常见log日志解释 - 59,079 views
    • 联系我 - 55,408 views
    • Sniffer Pro 4 70 530抓包软件 中文版+视频教程 - 47,174 views
    • 这篇文档您是否感兴趣 - 38,697 views
    • 迄今为止最全最深入的BIGIP-DNS/GTM原理及培训资料 - 32,365 views
    • F5利用Elastic stack(ELK)进行应用数据挖掘系列(2)-DNS - 29,659 views
    • F5利用Elastic stack(ELK)进行应用数据挖掘系列(1)-HTTP - 28,748 views
    链接表
    • Jimmy Song‘s Blog
    • SDNap
    • SDNlab
    • SDN论坛
    • Service Mesh社区
    • 三斗室
    • 个人profile

    COPYRIGHT © 2022 Cloud Native应用交付. ALL RIGHTS RESERVED.

    Theme Kratos Made By Seaton Jiang

    京ICP备14048088号-1

    京公网安备 11010502041506号