一. 什么是目录遍历漏洞
目录遍历(路径遍历)是由于web服务器或者web应用程序对用户输入的文件名称的安全性验证不足而导致的一种安全漏洞,使得攻击者通过利用一些特殊字符就可以绕过服务器的安全限制,访问任意的文件(可以使web根目录以外的文件),甚至执行系统命令。
二. 目录遍历漏洞原理
程序在实现上没有充分过滤用户输入的../之类的目录跳转符,导致恶意用户可以通过提交目录跳转来遍历服务器上的任意文件。
整改方法
1.Tomcat
修改conf/web.xml
将true 改为false 重启tomcat即可
2.apache
1、在服务器端,打开Apache配置文件C:\Program Files\phpStudy\Apache\conf\httpd.conf
2、在httpd.conf文件中找到 Options +Indexes +FollowSymLinks +ExecCGI 并修改成 Options -Indexes+FollowSymLinks +ExecCGI 并保存;
3、重新启动phpstudy
