瞭解黑客攻擊

我有一個簡單的機制，可以將分析結果保存到我在http請求中獲取的密鑰的mysql表中。例如，對於鏈接瞭解黑客攻擊

http://example.com?analyticsKey=button1

我加入到一個鍵 - 值表：鍵=按鈕1，值=值+ 1

我理解，這是相當DEF髒溶液，但作爲I」轉化輸入，我沒有看到任何理由擔心。但是，我也注意到這些投入已嘗試： ../../../../../../../../../../etc/passwd或../../../../../../../../../../proc/self/environ等。

難道黑客承擔這個輸入被用作從讀取文件的路徑？無論如何，這是常見的嗎？

2013-12-09 Noam

https://www.owasp.org/index.php/Path_Traversal –

機器人會自動嘗試各種各樣的事情，而不用擔心他們是否會工作。大多數生產基地每天都會有多次這樣的「黑客攻擊」。 – tadman

攻擊者（或）自動掃描程序曾嘗試對您的域進行directory-traversal攻擊。

這些自動化工具，做這些有點dirty jobs檢查，如果這樣的目錄或文件存在您的網絡服務器返回with the help of response code。

如果你的Web服務器，以便這些嘗試返回有效200響應代碼，攻擊者可能會通過一些其他means獲得了進入到你的服務器。

2013-12-09 18:37:34

這僅適用於'.php'文件，還是所有基於Web的頁面都易受攻擊Shankar？ I.e .:'.html'，'.shtml'等 –

嗨弗雷德！是的，這適用於任何配置不良的網絡服務器。 –

嗨尚卡爾，謝謝兄弟;-) –

回答