文件路径操纵

描述：文件路径操纵

当将用户控制数据放入服务器上用于访问可能位于Web根部内或之外的本地资源的文件或URL路径中时，就会出现文件路径操纵漏洞。beplay体育能用吗如果脆弱，攻击者可以修改文件路径以访问不同资源，这可能包含敏感信息。即使在Web根部受到攻击受到约束的情况beplay体育能用吗未配置为直接服务。

修复：文件路径操纵

理想情况下，应以某种方式设计应用程序功能，以至于不需要将可控制的数据放置在文件或URL路径中即可访问服务器上的本地资源。通常可以通过通过索引号而不是其名称引用已知文件来实现这一点。

如果将用户数据放入文件或URL路径不可避免地认为，则应严格根据可接受的值的白名单对数据进行严格验证。请注意，当访问Web根中的资源时，简单地阻止包含文件路径遍历序列的输入（例如DOT-DOT-beplay体育能用吗SLASH）并不总是足以防止检索敏感信息，因为某些受保护的项目可以在原始路径上访问某些受保护的项目使用任何遍历序列。

参考

• beplay体育能用吗网络安全学院：目录遍历

脆弱性分类

• CWE-22：对路径名的不当限制到限制目录（“路径遍历”）
• CWE-23：相对路径遍历
• CWE-35：路径遍历：'.../... //'
• CWE-36：绝对路径遍历
• CAPEC-126：路径遍历

典型的严重程度

高的

类型索引（HEX）

0x00100b00

类型索引（十进制）

1051392