目錄遍歷漏洞在國內外有許多不同的叫法,比如也可以叫做信息泄露漏洞,非授權文件包含漏洞.名稱雖然多,可他們卻有一個共同的成因,就是在程序中沒有過濾用戶輸入的../和./之類的目錄跳轉符,導致惡意用戶可以通過提交目錄跳轉來遍歷服務器上的任意文件,其危害可想而知.這類漏洞大家比較熟悉的可能就是在一些郵件列表程序以及網絡硬盤程序中,其實這類漏洞還廣泛存在與一些國外的BLOG程序中,這類漏洞大概分兩種下面就來通過實例來說明這類漏洞是如何產生以及該如何防范.

　　首先,我們來看一個國外的BLOG,前幾天從網上下了一個名為LoudBlog的BLOG程序,

　　在它的index.php頁面中看到如下代碼:

//build an include-path from the url-request
　　else {
　　$loadme = "inc/backend_" . $_GET['page'] . ".php";
　　}
　　//yee-hah! finally we do show real content on our page!
　　include ($loadme);
　　?>        

        

        
        
      
        
it知識庫：淺析PHP程序中的目錄遍歷漏洞，轉載需保留來源！
        
鄭重聲明：本文版權歸原作者所有，轉載文章僅為傳播更多信息之目的，如作者信息標記有誤，請第一時間聯系我們修改或刪除，多謝。