这篇文章http://www.mianwww.com/html/2010/01/6982.html 中提到了“双倍URL编码”,这个编码是怎么来的呢?
这回真的有邀请。在外,手机回下。
就是说想打/,一般编码一次是%5c。
但攻击者怕这个会被认出来,所以用二次编码,把%本身编码成%25。再和后边拼成%255c。
如果URL解码器有缺陷,只不断重复“从前边开始解析”这个步骤,就会把这个先变回%5c,再变成/,出现循环解析。当然这是错误的。正确的只应该解一步变成%5c。
抵抗父级目录回溯攻击,绝对不能依赖字符过滤,你过滤不完的。必须用“鸭子编程法”,先不论如何构造完整路径,再检验是否在有权的操作目录下。
要正确进行URL解码,谨记使用PHP等语言提供的内部函数,切勿重复发明轮子。