目錄遍歷漏洞在國內(nèi)外有許多不同的叫法,比如也可以叫做信息泄露漏洞,非授權文件包含漏洞.名稱雖然多,可他們卻有一個共同的成因,就是在程序中沒有過濾用戶輸入的../和./之類的目錄跳轉符,導致惡意用戶可以通過提交目錄跳轉來遍歷服務器上的任意文件,其危害可想而知.這類漏洞大家比較熟悉的可能就是在一些郵件列表程序以及網(wǎng)絡硬盤程序中,其實這類漏洞還廣泛存在與一些國外的BLOG程序中,這類漏洞大概分兩種下面就來通過實例來說明這類漏洞是如何產(chǎn)生以及該如何防范.

　　首先,我們來看一個國外的BLOG,前幾天從網(wǎng)上下了一個名為LoudBlog的BLOG程序,

　　在它的index.php頁面中看到如下代碼:

//build an include-path from the url-request
　　else {
　　$loadme = "inc/backend_" . $_GET['page'] . ".php";
　　}
　　//yee-hah! finally we do show real content on our page!
　　include ($loadme);
　　?>        

        

        
        
      
        
it知識庫：淺析PHP程序中的目錄遍歷漏洞，轉載需保留來源！
        
鄭重聲明：本文版權歸原作者所有，轉載文章僅為傳播更多信息之目的，如作者信息標記有誤，請第一時間聯(lián)系我們修改或刪除，多謝。