什么是目录遍历攻击及如何防护

击人员通过目录便利攻击可以获取系统文件及服务器的配置文件等等。一般来说，他们利用服务器API、文件标准权限进行攻击。严格来说，目录遍历攻击并不是一种web漏洞，而是网站设计人员的设计“漏洞”。如果web设计者设计的web内容没有恰当的访问控制，允许http遍历，攻击者就可以访问受限的目录，并可以在web根目录以外执行命令。

攻击方法

攻击者通过访问根目录，发送一系列”../”字符来遍历高层目录，并且可以执行系统命令，甚至使系统崩溃。

发现漏洞

1、可以利用web漏洞扫描器扫描一下web应用，不仅可以找出漏洞，还会提供解决办法，另外还可以发现是否存在sql漏洞及其他漏洞。 2、也可以查看web log，如果发现有未授权用户访问越级目录，说明有目录便利漏洞。

如何防范

防范目录遍历攻击漏洞，最有效的办法就是权限控制，谨慎处理传向文件系统API的参数。本人认为最好的防范方法就是组合使用下面两条：

1、净化数据：对用户传过来的文件名参数进行硬编码或统一编码，对文件类型进行白名单控制，对包含恶意字符或者空字符的参数进行拒绝。

2、web应用程序可以使用chrooted环境包含被访问的web目录，或者使用绝对路径+参数来访问文件目录，时使其即使越权也在访问目录之内。www目录就是一个chroot应用。

chroot

chroot是在unix系统的一个操作，针对正在运作的软件进程和它的子进程，改变它外显的根目录。一个运行在这个环境下，经由chroot设置根目录的程序，它不能够对这个指定根目录之外的文件进行访问动作，不能读取，也不能更改它的内容。chroot这一特殊表达可能指chroot(2)系统调用或chroot(8)前端程序。

由chroot创造出的那个根目录，叫做“chroot监狱”（chroot jail，或chroot prison）。more chroot使用

1.CVE-2014-0095：DoS（拒绝服务）漏洞如果AJP请求中设置了一个长度为0的内容，会导致AJP请求挂起，这会消耗一个请求处理线程，可能导致拒绝服务攻击。受影响版本：ApacheTomcat8.0.0-RC2~8.0.32.CVE-2014-0075：DoS（拒绝服务）漏洞攻击者可以制作一个特殊大小的chunked请求，允许大量数据流传输到服务器，并可以绕过各种大小验证，从而导致DoS攻击。受影响版本：ApacheTomcat8.0.0-RC1~8.0.3ApacheTomcat7.0.0~7.0.52ApacheTomcat6.0.0~6.0.393.CVE-2014-0096：信息泄露漏洞默认的servlet可以让Web应用程序定义一个XSLT，用于格式化目录列表。当在一个安全管理机制下运行时，这些进程没有受到和Web应用程序一样的约束条件，使得恶意Web应用通过使用外部XML来绕过安全限制。受影响版本：ApacheTomcat8.0.0-RC1~8.0.3ApacheTomcat7.0.0~7.0.52ApacheTomcat6.0.0~6.0.394.CVE-2014-0097：信息泄露漏洞用于解析请求内容长度头的代码没有检查溢出，这将导致请求泄露。受影响版本：ApacheTomcat8.0.0-RC1~8.0.3ApacheTomcat7.0.0~7.0.52ApacheTomcat6.0.0~6.0.395.CVE-2014-0119：信息泄露漏洞在特定情况下，恶意Web应用可能取代Tomcat中的XML解析器来处理默认servlet的XSLT、JSP文档、TLD（标签库描述符）和标签插件配置文件，注入的XML解析器可能会绕过针对XML外部实体的限制。受影响版本：ApacheTomcat8.0.0-RC1~8.0.5ApacheTomcat7.0.0~7.0.53ApacheTomcat6.0.0~6.0.39解决方法：各分支产品升级至最新的版本。Tomcat8.x分支升级至Tomcat8.0.8或更新版本Tomcat7.x分支升级至Tomcat7.0.54或更新版本Tomcat6.x分支升级至Tomcat6.0.41或更新版本

---