目录遍历与敏感信息泄露
目录遍历
目录遍历(路径遍历)是由于web服务器或者web应用程序对用户输入的文件名称的安全性验证不足而导致的一种安全漏洞,使得攻击者通过利用一些特殊字符就可以绕过服务器的安全限制,访问任意的文件(可以使web根目录以外的文件),甚至执行系统命令。
漏洞原理:
程序在实现上没有充分过滤用户输入的…/之类的目录跳转符,导致恶意用户可以通过提交目录跳转来遍历服务器上的任意文件。
读取文件的url:http://www.test.com/my.jsp?file=abc.html
恶意https://blog.csdn.net/jpygx123/article/details/83098369
https://www.cnblogs.com/bmjoker/p/9096081.html