我在本地运行apache VM web app。这是红帽子。
它是基于PHP的,但主页是index.html。我能够进入图像的子目录等等,我想知道我是否可以访问包含php代码的目录,可能只是图像目录上方的一个级别。由于index.html,它会强制加载,我无法查看服务器文件。
答案 0 :(得分:0)
是的,曾经有一个名为dot-dot-traversal的技巧可以做到这一点。基本上你将两个点放入一个URL并爬上网络根目录。像http://www.example.com/../../../../etc/shadow这样的东西。有时会发现利用此漏洞的新方法,但大多数情况下很少见。除非您运行旧服务器,否则您应该非常安全。