我尝试通过浏览器运行类似http://abcd.com/../../xyz/a.do的东西。但是没有成功。
我的问题是我们是否可以运行一个url从目录中获取数据而不是从abcd.com的子目录
编辑:
假设目录结构是/www/:
/xzy
废话/abcd.com/
我想访问/xyz
No.
客户端将相对uri解析为绝对uri。../只导致前一个目录被删除。如果没有,则忽略../。
这是一个非常古老的安全漏洞(目录遍历),实际上在几年前就起作用了。
我尝试通过浏览器运行类似http://abcd.com/../../xyz/a.do的东西。但是没有成功。
我的问题是我们是否可以运行一个url从目录中获取数据而不是从abcd.com的子目录
编辑:
假设目录结构是/www/:
/xzy
废话/abcd.com/
我想访问/xyz
No.
客户端将相对uri解析为绝对uri。../只导致前一个目录被删除。如果没有,则忽略../。
这是一个非常古老的安全漏洞(目录遍历),实际上在几年前就起作用了。