欧美bbbwbbbw肥妇,免费乱码人妻系列日韩,一级黄片

Apache后綴名解析漏洞分析和防御方法

 更新時間:2014年08月16日 09:53:01   投稿:junjie  
這篇文章主要介紹了Apache后綴名解析漏洞分析和防御方法,后綴解析漏洞通常通過偽造PHP后輟,來上傳文件到服務器中,很致命的一漏洞,需要的朋友可以參考下

我們都知道windows2003 + IIS6.0下,如果目錄結(jié)構(gòu)中有xxx.asp這樣的目錄,那么所有這個目錄下的文件不管擴展名為什么,都會當作asp來解析。我們一般稱這個漏洞為windows2003+iis6.0目錄解析漏洞。但是大家可能不知道的是,apache服務器也存在類似的解析漏洞。

我們來做下實驗,我在本地搭建好了一個apache+php的測試平臺:

兩個文件phpinfo.php phpinfo.php.a ,我們來訪問下phpinfo.php.a:

http://192.168.99.110/phpinfo.php.a

可以解析,換成其他后綴仍然可以。
  
不管文件最后后綴為什么,只要是.php.*結(jié)尾,就會被Apache服務器解析成php文件,問題是apache如果在mime.types文件里面沒有定義的擴展名在諸如x1.x2.x3的情況下,最后一個x3的沒有定義,他會給解析成倒數(shù)第二個的x2的定義的擴展名。所以xxx.php.rar或者xxx.php.111這些默認沒在mime.types文件定義的都會解析成php的。同樣如果是cgi或者jsp也一樣。。。

  那么如果涉及到web程序的上傳頁面,如果上傳的文件名是我們可以定義的,那么我們完全可以上傳一個xxx.php.jpg這樣名字的webshell,apache仍然會當作php來解析,我們再來測試下jpg。

防御方法:apache配置文件,禁止.php.這樣的文件執(zhí)行,配置文件里面加入。

復制代碼 代碼如下:

<Files ~ "\.(php.php3.)">
Order Allow,Deny
Deny from all
</Files>

保存,從起apache以后,我們再來看看。

OK,防御方法就是這樣。

相關(guān)文章

  • 寶塔linux面板命令大全

    寶塔linux面板命令大全

    這篇文章主要介紹了寶塔面板Linux版的命令大全,需要的朋友可以參考下
    2020-06-06
  • 6ull加載linux驅(qū)動模塊失敗解決方法

    6ull加載linux驅(qū)動模塊失敗解決方法

    大家好,本篇文章主要講的是6ull加載linux驅(qū)動模塊失敗解決方法,感興趣的同學趕快來看一看吧,對你有幫助的話記得收藏一下,方便下次瀏覽
    2021-12-12
  • linux模糊查找文件用什么命令比較好

    linux模糊查找文件用什么命令比較好

    這篇文章主要給大家介紹了關(guān)于linux模糊查找文件用什么命令比較好的相關(guān)資料,文中通過示例代碼介紹的非常詳細,對大家學習或者使用linux系統(tǒng)具有一定的參考學習價值,需要的朋友們下面來一起學習學習吧
    2019-08-08
  • 詳解linux lcd驅(qū)動編寫

    詳解linux lcd驅(qū)動編寫

    這篇文章主要介紹了詳解linux lcd驅(qū)動編寫,小編覺得挺不錯的,現(xiàn)在分享給大家,也給大家做個參考。一起跟隨小編過來看看吧
    2018-04-04
  • Xshell如何添加快捷命令的方法

    Xshell如何添加快捷命令的方法

    這篇文章主要介紹了Xshell如何添加快捷命令的方法,文中通過示例代碼介紹的非常詳細,對大家的學習或者工作具有一定的參考學習價值,需要的朋友們下面隨著小編來一起學習學習吧
    2020-07-07
  • apache虛擬機配置步驟和修改訪問端口的方法(虛擬機端口映射)

    apache虛擬機配置步驟和修改訪問端口的方法(虛擬機端口映射)

    這篇文章主要介紹了apache虛擬機配置步驟和修改訪問端口的方法(虛擬機端口映射),需要的朋友可以參考下
    2014-02-02
  • centOS7.4 安裝 mysql 5.7.26的教程詳解

    centOS7.4 安裝 mysql 5.7.26的教程詳解

    CentOS中默認安裝有MariaDB,這個是MySQL的分支,但為了需要,還是要在系統(tǒng)中安裝MySQL,而且安裝完成之后可以直接覆蓋掉MariaDB。這篇文章主要介紹了centOS7.4 安裝 mysql 5.7.26,需要的朋友可以參考下
    2019-06-06
  • Linux安裝Jenkins步驟及各種問題解決(頁面訪問初始化密碼)

    Linux安裝Jenkins步驟及各種問題解決(頁面訪問初始化密碼)

    這篇文章主要介紹了Linux安裝Jenkins步驟及各種問題頁面訪問初始化密碼,需要的朋友可以參考下
    2019-12-12
  • Ubuntu16.04安裝Jenkins的方法圖文詳解

    Ubuntu16.04安裝Jenkins的方法圖文詳解

    這篇文章主要介紹了Ubuntu16.04安裝Jenkins,本文圖文并茂給大家介紹的非常詳細,具有一定的參考借鑒價值,需要的朋友可以參考下
    2019-11-11
  • 服務器端包含、嵌入技術(shù)SSI(Server SideInc lude)詳解

    服務器端包含、嵌入技術(shù)SSI(Server SideInc lude)詳解

    這篇文章主要介紹了服務器端包含、嵌入技術(shù)SSI(Server SideInc lude)詳解,本文包含SSI簡介、SSI的語法、SSI的一些常用命令等,SSI最明顯的特征是網(wǎng)頁的擴展名師.shtml,一些大網(wǎng)站也常用這種技術(shù),需要的朋友可以參考下
    2014-07-07

最新評論