我有一个简单的机制,可以将分析保存到mysql表中,以获取我在http请求中获得的密钥。例如,对于网址
http://example.com?analyticsKey=button1
我正在添加一个键值表:key = button1,value = value + 1
我知道这是一个非常肮脏的解决方案,但是当我逃避输入时,我没有看到任何理由担心。但是,我确实注意到了这些输入:
../../../../../../../../../../etc/passwd或../../../../../../../../../../proc/self/environ等。
黑客是否认为此输入被用作文件路径来读取?这是不是很常见?
答案 0 :(得分:3)
攻击者(或)自动扫描程序尝试对您的域进行directory-traversal攻击。
这些自动化工具可以执行dirty jobs这类目录或文件检查您的网络服务器是否存在 with the help of response code 。
如果您的网络服务器为这些尝试返回了有效的 200 响应代码,则攻击者可能已被其他means访问您的服务器。