中间件漏洞总结(二)- Apache
2021-05-06 11:28
标签:漏洞修复 上传 服务 link httpd ica and 用户 ons (一) Apache简介 Apache 是世界使用排名第一的Web 服务器软件。它可以运行在几乎所有广泛使用的 计算机平台上,由于其 跨平台 和安全性被广泛使用,是最流行的Web服务器端软件之一。它快速、可靠并且可通过简单的API扩充,将 Perl/ Python等 解释器编译到服务器中。 (二) 解析漏洞 1、 漏洞介绍及成因 Apache文件解析漏洞与用户的配置有密切关系,严格来说属于用户配置问题。 Apache文件解析漏洞涉及到一个解析文件的特性: Apache默认一个文件可以有多个以点分隔的后缀,当右边的后缀无法识别(不在mime.tyoes内),则继续向左识别,当我们请求这样一个文件:shell.xxx.yyy php->发现后缀是php,交给php处理这个文件 2、 漏洞复现 上传一个后缀名为360的php文件 3、 漏洞修复 将AddHandler application/x-httpd-php .php的配置文件删除。 (三) 目录遍历 1、 漏洞介绍及成因 由于配置错误导致的目录遍历 2、 漏洞复现 3、 漏洞修复 修改apache配置文件httpd.conf 找到Options+Indexes+FollowSymLinks +ExecCGI并修改成 Options-Indexes+FollowSymLinks +ExecCGI 并保存; 中间件漏洞总结(二)- Apache 标签:漏洞修复 上传 服务 link httpd ica and 用户 ons 原文地址:https://www.cnblogs.com/ssw6/p/12098560.htmlyyy->无法识别,向左
xxx->无法识别,向左
文章标题:中间件漏洞总结(二)- Apache
文章链接:http://soscw.com/index.php/essay/83193.html