Web安全问题及防范规范之目录遍历_B/S开发框架

Web站点为什么会遭受攻击?是为了恶作剧?损害企业名誉?免费浏览收费内容?盗窃用户隐私信息?获取用户账号谋取私利?总之攻击方式层出不穷,作为B/S开发框架来说,帮助开发者做好解决安全问题也是刻不容缓的,本篇文章来告诉大家怎么防范目录遍历致使系统漏洞的暴露。

适用范围

云微开发平台web开发框架

攻击原理

WEB开发框架开发出来的项目中攻击者通过访问根目录,发送一系列”../”字符来遍历高层目录,并且可以执行系统命令,甚至使系统崩溃。

例:http://www.bad.com/../autoexec.bat

URL中的“.../”告诉服务器上溯一个目录,也就是“C:\”目录(Web 服 务器可以将斜杠转换为反斜杠)

所以如果IIS服务器默认目录为“ c:\inetpub”,那么该URL会转到“C:\”目录,攻击者将能够看到 “c:\autoexec.bat”文件。

B/S开发框架--目录遍历启用

管理处理

1、不能允许目录浏览,IIS的站点主页双击目录预览中,设置禁止状态。

web开发框架--目录遍历禁用


2、防止暴露物理路径。在IIS错误页配置中,设置为“本地请求的详细错误和远程请求的自定义错误页”。

云微开发平台--目录遍历错误页

3、净化数据:对用户传过来的文件名参数进行硬编码或统一编码,对文件类型进行白名单控制,对包含恶意字符或者空字符的参数进行拒绝。

对用户传过来的文件名参数进行硬编码或统一编码,

post提交的方式:使用过滤器,将到达页面前的request对象中的字符编码设定成跟你页面统一的编码;

get提交的方式:<%String str = new String(request.getParameter("content").getBytes("ISO-8859-1"),"utf-8"); %>这样的字符串重组的方法。

超级链接方式:先将链接url中的汉字用URLEncoder.encode("paramValue","charset")方法处理一下。

对文件类型进行白名单控制,根据需求判断文件后缀名(.doc .text )类型文件才允许上传到服务

对包含恶意字符或者空字符的参数进行拒绝,在服务端接收到参数加以验证.

4、使用绝对路径+参数来访问文件目录,时使其即使越权也在访问目录之内。

物理处理

Web站点为什么会遭受攻击?是为了恶作剧?损害企业名誉?免费浏览收费内容?盗窃用户隐私信息?获取用户账号谋取私利?总之攻击方式层出不穷,作为B/S开发框架来说,帮助开发者做好解决安全问题也是刻不容缓的,本篇文章来告诉大家怎么防范目录遍历致使系统漏洞的暴露。
标签: B/S开发框架Web安全问题及防范规范标签

网站&系统开发技术学习交流群:463167176

本站文章除注明转载外,均为本站原创或翻译,欢迎任何形式的转载,但请务必注明出处,尊重他人劳动,共创和谐网络环境。
转载请注明:文章转载自:华晨软件-云微开发平台 » Web安全问题及防范规范之目录遍历_B/S开发框架
本文标题:Web安全问题及防范规范之目录遍历_B/S开发框架
本文地址:http://www.hocode.com/OrgTec/Back/0018.html

相关文章: Web安全问题及防范规范之弱口令

电话
电话 18718672256

扫一扫
二维码