大家好，我是 Kali 与编程讲师老 K，B 站和网易云课堂讲师，专注 Kali 教学，致力于帮助小白轻松学会 Kali 与编程，接下来你将分清《后台遍历 VS 目录泄露》

很多初学网络安全，使用 kali 做漏洞挖掘的新手，绝大部分都会把目录泄露和后台遍历两种漏洞混为一谈。二者都属于网站底层路径类高危漏洞，都是通过浏览网站文件夹获取隐秘资料，外在攻击手法十分相似，绝大多数小白没办法区分危害成因，今天我用生活化大白话通俗易懂讲解，搭配日常生活场景类比，零基础小白也可以彻底弄懂两种漏洞本质差别。

首先先来讲解目录泄露，属于网站原生配置产生的基础性漏洞。简单理解就是网站服务器没有做好文件夹权限隐藏。正常搭建的网页，点开网站文件夹不会展示内部全部文件，而出现目录泄露的服务器，会直接敞开全部文件夹资料。能够完整看见网站里面所有源码、备份文件、日志文档、私密压缩包、配置数据。

用生活情景最简单类比，目录泄露好比自家家里储物柜没有上锁。柜子里面所有账本、私密单据、私人物品全部直接裸露在外，路人随便路过就能够从头到尾翻看全部东西。漏洞根源是网站管理员服务器设置疏忽，没有关闭目录浏览权限，属于先天配置问题，漏洞范围覆盖面更广，泄露的杂乱资料数量更多。

再来理解后台遍历，也叫做后台路径遍历，属于定向性路径读取漏洞。它不是整体文件夹全部外露，攻击者不需要浏览全部文件夹。黑客专门找寻网站管理员的登录后台、管理入口、权限后台专属地址。整体攻击目标十分专一，只为找出网站后台登录页面，用来后续爆破账号密码，拿下网站管理权限。

生活类比通俗易懂来讲，后台遍历相当于别人专门寻找你家房门大门。不去翻看家里杂物柜子，一心一意查找入户正门，只要找到大门位置，后续就可以尝试开锁入侵。后台遍历漏洞只针对管理入口，不会外泄网站源码以及内部文件，单纯暴露管理登录地址。

二者漏洞危害等级也有着明显差距。目录泄露风险性更高，一旦漏洞存在，源码、数据库账号、后台地址全部一并流出，黑客可以直接拼凑整套入侵思路。后台遍历危害偏低，仅仅只是找出登录入口，没有账号依旧无法入侵。

同时渗透测试当中排查顺序也不一样，我们在用 kali 工具探测站点时，优先检测目录泄露，再去筛查后台遍历。很多站点会出现只有其中一种漏洞，不会同时存在。新手做题实操经常混淆，记住核心本质：全部文件外露是目录泄露，单纯找出管理入口是后台遍历。弄懂底层原理之后，后续漏洞挖掘就不会判断错误。

互动话题：你日常渗透实操当中，最容易看错哪一种路径类漏洞？

关注我，每天学习 Kali 知识。

免责声明：仅供安全科普学习，严禁私自非法网络攻击。

点击下方链接，学习黑客入门《Kali与编程最全课》

哔哩哔哩_bilibilibilibili是国内知名的视频弹幕网站，这里有最及时的动漫新番，最棒的ACG氛围，最有创意的Up主。大家可以在这里找到许多欢乐。https://b23.tv/LK8FUcE