目錄遍歷漏洞在國(guó)內(nèi)外有許多不同的叫法,比如也可以叫做信息泄露漏洞,非授權(quán)文件包含漏洞.名稱雖然多,可他們卻有一個(gè)共同的成因,就是在程序中沒有過濾用戶輸入的../和./之類的目錄跳轉(zhuǎn)符,導(dǎo)致惡意用戶可以通過提交目錄跳轉(zhuǎn)來遍歷服務(wù)器上的任意文件,其危害可想而知.這類漏洞大家比較熟悉的可能就是在一些郵件列表程序以及網(wǎng)絡(luò)硬盤程序中,其實(shí)這類漏洞還廣泛存在與一些國(guó)外的BLOG程序中,這類漏洞大概分兩種下面就來通過實(shí)例來說明這類漏洞是如何產(chǎn)生以及該如何防范.

　　首先,我們來看一個(gè)國(guó)外的BLOG,前幾天從網(wǎng)上下了一個(gè)名為L(zhǎng)oudBlog的BLOG程序,

　　在它的index.php頁(yè)面中看到如下代碼:

//build an include-path from the url-request
　　else {
　　$loadme = "inc/backend_" . $_GET['page'] . ".php";
　　}
　　//yee-hah! finally we do show real content on our page!
　　include ($loadme);
　　?>        

        

        
        
      
        
it知識(shí)庫(kù)：淺析PHP程序中的目錄遍歷漏洞，轉(zhuǎn)載需保留來源！
        
鄭重聲明：本文版權(quán)歸原作者所有，轉(zhuǎn)載文章僅為傳播更多信息之目的，如作者信息標(biāo)記有誤，請(qǐng)第一時(shí)間聯(lián)系我們修改或刪除，多謝。