./../../../../../etc/passwd 是一个文件路径字符串,它使用了相对路径跳转到根目录下的/etc/passwd文件。这种路径遍历技术也称为目录穿越漏洞(directory traversal vulnerability),或路径遍历攻击(path traversal attack)。
如果这个文件路径字符串被用于读取或者执行文件操作,而没有进行充分的输入验证和过滤,那么攻击者可能利用这个漏洞来访问系统中的敏感文件,例如密码文件、配置文件等。在这个例子中,攻击者可能通过读取/etc/passwd文件获取到系统中的用户列表、密码哈希等敏感信息。文章来源:https://uudwc.com/A/rZ3VJ
为了防止这种漏洞,应该对所有的输入进行充分的验证和过滤,尤其是用户输入的字符串。具体来说,可以通过对用户输入的文件路径字符串进行限制,例如只允许访问指定目录下的文件,或者限制文件路径的长度和字符集等。另外,还可以采用更为安全的文件访问方式,例如使用文件句柄、文件描述符等,而不是直接读取文件内容。文章来源地址https://uudwc.com/A/rZ3VJ
