目錄遍歷是一種惡意技術，其目的是授予攻擊者對受限文件和目錄的訪問權限，超越目標網站或 Web 應用程序的文檔根目錄之外。

通過使用特殊字符（路徑遍歷序列）操作引用文件的變量，攻擊者可以通過 Web 服務器解釋這些序列，迫使服務器在文件系統層次結構中向上移動一個目錄。這樣，攻擊者可以訪問文檔根目錄之外的敏感信息，如操作系統信息和關鍵配置文件。

為了限制目錄遍歷攻擊造成的潛在損害，Web 服務器利用了文檔根的概念。文檔根是將網站文件限制在指定目錄中，稱為網站的根目錄。通過定義文檔根目錄，Web 服務器可以正確地引導和響應對該網站內容的傳入請求。除了文檔根之外，Web 服務器還使用其他訪問控制機制來進一步限制對網站數據的訪問。最值得注意的機制之一是文件權限，它有助于實施最小特權原則，確保系統用戶或進程僅被授予執行其預期功能所需的最低訪問級別。

然而，黑客可以使用多種惡意技術來繞過這些機制，其中包括目錄遍歷。在大多數情況下，攻擊者精確地知道他們在尋找什么信息，并可以繞過禁用目錄列表的限制。因此，Web 服務器必須采取其他措施來防止目錄遍歷攻擊。例如，可以對輸入進行徹底的檢查和過濾，確保輸入不包含非法的路徑遍歷序列。另外，應該定期更新服務器和 Web 應用程序以修復已知漏洞，并使用強大的密碼和多因素身份驗證保護用戶憑據。

在 Linux 服務器上，/etc/passwd 文件是目錄遍歷攻擊的常見目標之一。該文件包含在服務器上創建的用戶列表，提供了對用戶憑據進行暴力攻擊的良好起點。因此，Web 服務器管理員必須確保此文件的訪問權限適當受限，并監視可能的攻擊行為。

總之，目錄遍歷是一種常見的 Web 安全威脅，可用于獲取敏感信息或破壞系統的安全性。Web 服務器管理員必須了解該威脅，并采取必要的預防措施來確保其系統的安全性和完整性。