目录遍历(也称为“路径遍历”)是一种利用 Web 服务器和 Web应用内的漏洞进行网络攻击的方法。
一般情况下,Web服务器管理员会指定一个用户可以访问的根目录,将用户可以访问的文件限制在特定的子目录中。 但是,如果用户提供的指定文件名或路径的输入未得到正确清理,攻击者可能会利用特制的序列(例如“../”)向上导航(“遍历”)到父目录。 此类漏洞允许恶意用户突破目标目录并获得对敏感或隐藏文件和目录的未授权访问,从而可能导致信息泄露或系统受损。
为了防止目录遍历攻击,Web 管理员应该实施安全措施,例如限制应用程序脚本可访问的目录(例如,在 PHP“php.ini”文件中配置“open_basedir”设置以限制文件包含路径)。 当使用 Apache 等 Web 服务器时,删除或禁用“httpd.conf”文件中的“索引”选项对于防止目录列表至关重要。 目录列表允许攻击者查看目录的内容,从而暴露命名模式并促进进一步的利用尝试。
此外,通过使用 Web应用防火墙 (WAF) 可以有效地缓解目录遍历攻击。 F5 在F5 BIG-IP应用安全管理器 (ASM)中提供了强大的 WAF 功能,有助于防止路径遍历和类似的 Web 漏洞。