什么是目录遍历攻击及如何防护

击人员通过目录便利攻击可以获取系统文件及服务器的配置文件等等。一般来说，他们利用服务器API、文件标准权限进行攻击。严格来说，目录遍历攻击并不是一种web漏洞，而是网站设计人员的设计“漏洞”。如果web设计者设计的web内容没有恰当的访问控制，允许http遍历，攻击者就可以访问受限的目录，并可以在web根目录以外执行命令。

攻击方法

攻击者通过访问根目录，发送一系列”../”字符来遍历高层目录，并且可以执行系统命令，甚至使系统崩溃。