攻击方法
攻击者通过访问根目录,发送一系列”../”字符来遍历高层目录,并且可以执行系统命令,甚至使系统崩溃。
发现漏洞
1、可以利用web漏洞扫描器扫描一下web应用,不仅可以找出漏洞,还会提供解决办法,另外还可以发现是否存在sql漏洞及其他漏洞。 2、也可以查看web log,如果发现有未授权用户访问越级目录,说明有目录便利漏洞。
如何防范
防范目录遍历攻击漏洞,最有效的办法就是权限控制,谨慎处理传向文件系统API的参数。本人认为最好的防范方法就是组合使用下面两条:
1、净化数据:对用户传过来的文件名参数进行硬编码或统一编码,对文件类型进行白名单控制,对包含恶意字符或者空字符的参数进行拒绝。
2、web应用程序可以使用chrooted环境包含被访问的web目录,或者使用绝对路径+参数来访问文件目录,时使其即使越权也在访问目录之内。www目录就是一个chroot应用。
chroot
chroot是在unix系统的一个操作,针对正在运作的软件进程和它的子进程,改变它外显的根目录。一个运行在这个环境下,经由chroot设置根目录的程序,它不能够对这个指定根目录之外的文件进行访问动作,不能读取,也不能更改它的内容。chroot这一特殊表达可能指chroot(2)系统调用或chroot(8)前端程序。
由chroot创造出的那个根目录,叫做“chroot监狱”(chroot jail,或chroot prison)。more chroot使用
可以用两种方式来搭建Spring框架,其中第一种是利用MyEclipse工具里自带的来自动配置Spring,第二种是由自己手动去配置,这两者的区别在于,第一种稍微简单,第二种稍微复杂,但是第二种方式能配置较高版本的Spring框架,主要还是看个人的爱好而定.二.第一种方式:自动配置方式。
(1).首先,新建一个Java项目,项目名为one_spring。
(2).选中这个Java项目,点击鼠标右键,选择MyEclipse下的Add Spring Capabilites...这个选项,也可以从菜单栏里选择,为了使我们创建的这个Java项目可以移植,所以可以选择最后一个箭头所指向处,点击Browse按钮,选择放置jar包的文件夹,点击Create New Folder后,新建一个文件夹叫lib,专门放置jar包:点击OK即可,然后再点击Next按钮:接着再点击Finish按钮即完成了自动配置Spring的开发环境,点击Finish按钮后,项目文件结构就配置完成了
第二种方式:手动配置Spring环境方式。
(1).首先,先下载所需要的Spring软件包,我下载的为Spring4.1.6这个版本的,下载完后得到几个文件夹,配置Spring所需的jar包就在libs下,鼠标右键选择Build Path — >configure Build Path...这个选项,点开之后点击右边Add External JARS...按钮,即红色箭头指向处,把我们下载到的软件包下的libs文件夹的jar包添加进去,我们可以把核心的jar包添加进去即可,点击OK按钮就可以了,如果是Web项目的话,就把这些核心jar包导入进WEB-INF下的lib文件夹下。
总结:不管是手动配置还是自动配置Spring的环境,都是大同小异的,主要按个人喜好选择就好。 注:还是建议把配置文件放在src目录底下,使用类路径的方式来找到!这样比较简单,也不会出现错误!
欢迎分享,转载请注明来源:夏雨云
微信扫一扫
支付宝扫一扫
评论列表(0条)