%5c的函数。在路径遍历中
%5c的函数。在路径遍历中
提问于 2017-06-28 05:25:22
最近,我遇到了一个博客帖子,它是一位昆虫赏金猎人。
显然,发现了一个路径遍历漏洞,该漏洞如下所示:
http://help.example.com/@app/skin/views/%5c../%5c../%5c../%5c../%5c../%5c../%5c../etc/passwd.html我从未遇到过这样的路径遍历格式。
这是如何工作的,以及%5c..中URL编码反斜杠的用途是什么?
回答 1
Security用户
回答已采纳
发布于 2017-06-28 05:49:09
"%5c“(编码反斜杠)通常用于规避URL中"../”(正斜杠)的清除--试图通过URL停止目录横截。因为您不能在URL中使用反斜杠,所以需要对其进行编码。
因此,如果正斜杠被阻塞,反斜杠可能会工作-允许攻击。
我在IIS攻击(而不是Linux/Unix服务器)上经常看到这种情况。
页面原文内容由Security提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://security.stackexchange.com/questions/162940
复制相关文章
相似问题
腾讯云开发者
