多测师-多培养一些优秀的测试工程师
网站地图 |   收藏本站   |   

17727591462

软件测试培训之安全测试的路径遍历漏洞的防范与检测

发布日期:2023-01-04 09:11:07 作者:多测师 浏览次数:

  1、路径遍历漏洞是什么?

  ①为了识别位于受限的父目录下的文件或目录,软件使用外部输入来构建路径。如果软件不能正确地过滤路径中的特殊元素,能够导致访问受限目录之外的位置。

  ②正常应用中的许多文件操作都发生在受限目录下。(首先目录代表)

  ③攻击者通过使用特殊元素(例如,“..”、“/”)可到达受限目录之外的位置,从而获取系统中其他位置的文件或目录。例如 ../ 作为一种常见的特殊字符串,在大多数操作系统中被解释为当前位置的父目录,这种使用特殊元素 ../ 的路径遍历漏洞又被称为相对路径遍历。路径遍历还包括使用绝对路径名(如/usr/local/bin),用于访问非预期的文件,这称为绝对路径遍历。

软件测试培训之安全测试的路径遍历漏洞的防范与检测

  2、路径遍历漏洞的构成条件有哪些?

  ①数据从不可靠来源(包括但不局限于不可靠用户的输入信息或是不可靠用户可能更改的文件)进入应用程序。

  ②该数据被用于构造新的文件目录,进一步进行访问或修改。

  3、路径遍历漏洞会造成哪些后果?

  ①攻击者可能创建或覆盖关键文件。例如程序或库,并用于执行。

  ②攻击者绕过安全机制获取重要数据。例如,在可访问的文件路径末尾附加 ../ 等路径并重定向到本无权限的重要数据,这可能允许攻击者绕过身份验证。

  ③攻击者可能能够覆盖,删除或损坏关键文件。例如程序,库或重要数据。这可能会阻止软件完全工作,并且在诸如认证之类的保护机制的情况下,它有可能锁定软件的每个用户。

  4、路径遍历漏洞的一些防范和修补建议

  从实现角度,进行输入验证:对输入的信息进行验证。使用严格符合规范的可接受输入的白名单。拒绝任何不严格符合规范的输入,或将其转换为具有相应规格的输入。

如需了解更多测试技术信息请关注:https://www.duoceshi.cn/jswz/深圳多测师软件与技术服务有限公司


查看更多 >>

推荐阅读