测试网站上的目录扫描/读取漏洞

时间:2009-07-31 05:37:31

标签: security testing web

让我们说我想测试服务器(http://www.testserver.com)的安全性,以便扫描/读取目录漏洞。

我通常会尝试通过执行类似http://www.testserver.com/../../../../etc/passwd的操作来搜索文件/ / etc / passwd(或更有趣的东西:))并查看它是否会抛出任何内容。

如果我不确切知道有多少点和斜线我必须经历这个问题,这可能会变得相当繁琐。

有没有智能/自动的方式来做到这一点?

P.S。我不知道这种测试的含义是什么,所以如果我复制了这个问题请指出。

1 个答案:

答案 0 :(得分:0)

通常在正确配置apache或其他内容时,它不允许您访问根目录上方的任何内容,由apache配置中的DocumentRoot定义。

如果您的apache配置中设置了正确的DocumentRoot,则没有问题。通常默认配置是安全的,但当然,您可能不小心允许访问其他文件夹。