中的数据
如果web服务器可以被指示从web根目录上方获取任意内容,这将是一个相当严重的安全问题。
我尝试通过浏览器运行类似http://abcd.com/../../xyz/a.do的东西。但是没有成功。
我的问题是我们是否可以运行一个url从目录中获取数据而不是从abcd.com的子目录
编辑:
假设目录结构是/www/:
/xzy
废话/abcd.com/
我想访问/xyz
No.
客户端将相对uri解析为绝对uri。../
只导致前一个目录被删除。如果没有,则忽略../
。
这是一个非常古老的安全漏洞(目录遍历),实际上在几年前就起作用了。