測試網站上的目錄掃描/閱讀漏洞

Question

可以說我想測試目錄掃描/閱讀漏洞的服務器安全性（http://www.testserver.com）。

我通常會嘗試搜索一個文件說/ etc/passwd（或更有趣的東西:)）做一些像http://www.testserver.com/../../../../etc/passwd，看看它是否會拋出任何東西。

現在，如果我不知道究竟需要多少點和斜線才能找到這個問題，那麼這可能會變得非常單調乏味。

是否有任何智能/自動的方式來做到這一點？

P.S.我不知道這個測試的詞是什麼，所以如果我重複了這個問題，請注意。

Answer 1

通常，當apache或其他東西配置正確時，它不會讓你訪問根目錄上的任何東西，在你的apache配置文件中由DocumentRoot定義。

如果你在你的apache配置中設置了正確的DocumentRoot，那就沒有問題了。通常情況下，默認配置是安全的，但當然，您可能意外地允許訪問其他文件夾。