目录遍历漏洞和文件读取漏洞的区别

Posted 2021-05-26 新网工李白

目录遍历漏洞

通过操作URL强行访问web目录以外的文件，目录和命令。网站存在配置缺陷，导致网站目录可以被任意浏览，这会导致网站很多隐私文件与目录泄露，比如数据库备份文件、配置文件等，攻击者利用该信息可以为进一步入侵网站做准备。

文件读取漏洞

任意文件读取/下载漏洞比目录浏览漏洞危害更大，他不仅会泄露网站的目录结构，而且攻击者可以直接获得网站文件的内容。攻击者可以因此获取到很多机密的文件，比如配置文件，比如 /etc/passwd、/root/.bash_history文件等。

区别

• 目录遍历漏洞会导致源码结构泄露
• 文件读取漏洞会导致源码内容获取