假设我想测试服务器 ( http://www.testserver.com ) 的目录扫描/读取漏洞的安全性。
我通常会尝试通过执行类似 http://www.testserver.com/../../../../etc/passwd 的操作来搜索文件,例如/etc/passwd(或更有趣的东西:))看看它是否吐出任何东西。
现在,如果我不知道我必须经过多少个点和斜线才能找到这个问题,这会变得非常乏味。
有没有智能/自动的方法来做到这一点?
附言我不知道这种测试的词是什么,所以如果我重复了这个问题,请指出。
最佳答案
通常当 apache 或其他配置正确时,它不会让您访问根目录之上的任何内容,根目录由您的 apache 配置中的 DocumentRoot 定义。
如果您在 apache 配置中设置了正确的 DocumentRoot,那么就没有问题。通常默认配置是安全的,但当然,您可能不小心允许访问其他文件夹。
关于security - 测试网站上的目录扫描/读取漏洞,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/1210824/