让我们说我想测试服务器(http://www.testserver.com)的安全性,以便扫描/读取目录漏洞。
我通常会尝试通过执行类似http://www.testserver.com/../../../../etc/passwd的操作来搜索文件/ / etc / passwd(或更有趣的东西:))并查看它是否会抛出任何内容。
如果我不确切知道有多少点和斜线我必须经历这个问题,这可能会变得相当繁琐。
有没有智能/自动的方式来做到这一点?
P.S。我不知道这种测试的含义是什么,所以如果我复制了这个问题请指出。
答案 0 :(得分:0)
通常在正确配置apache或其他内容时,它不允许您访问根目录上方的任何内容,由apache配置中的DocumentRoot定义。
如果您的apache配置中设置了正确的DocumentRoot,则没有问题。通常默认配置是安全的,但当然,您可能不小心允许访问其他文件夹。