【常見Web應用安全問題】---4、Directory traversal目錄周遊(Directory traversal)

Web應用程式的安全性問題依其存在的形勢劃分，種類繁多，這裡不準備介紹所有的，隻介紹常見的一些。

 常見Web應用安全問題安全性問題的清單：

　　１、跨站腳本攻擊(CSS or XSS, Cross Site Scripting)

　　２、SQL注入攻擊(SQL injection)

　　３、遠端指令執行(Code execution，個人覺得譯成代碼執行并不确切)

　　４、目錄周遊(Directory traversal)

　　５、檔案包含(File inclusion)

　　６、腳本代碼暴露(Script source code disclosure)

　　７、Http請求頭的額外的回車換行符注入(CRLF injection/HTTP response splitting)

　　８、跨幀腳本攻擊(Cross Frame Scripting)

　　９、PHP代碼注入(PHP code injection)

　　１０、XPath injection

　　１１、Cookie篡改(Cookie manipulation)

　　１２、URL重定向(URL redirection)

　　１３、Blind SQL/XPath injection for numeric/String inputs

　　１４、Google Hacking

　　部分朋友應該知道之前我在我的blog裡公布了ah163.net上的一個安全漏洞，安全級别高：極度危險，由于我沒有公布細節，大家都比較好奇想知道是什麼。出于對同行的尊重我就删除了漏洞公布這一欄的内容了。我已經通知ah163.net的同行了，他們已經fix那個問題。

在浏覽器裡運作它，會是什麼結果呢？結果是：/usr/local/apache/conf/裡的所有檔案都老老實實的列出來了，通過這種方式，你可以發揮你的想象了，伺服器上的東東是不是都差不多可以列出來了？告訴你，還可以随便下載下傳呢！網絡硬碟嘛，就是用來上傳下載下傳的，是以它提供的功能很完備，破壞性也就很強了。至于它的危害有多大，你自己想去吧，我就不危言聳聽了。

１、同樣是限制Web應用在伺服器上的運作 

２、進行嚴格的輸入驗證，控制使用者輸入非法路徑