web安全之中间件漏洞

注:在此讨论的中间件漏洞,包含web中间件、开发框架(ThinkPHP等)、安全框架(Apache shiro等)、CMS(discuz/dedecms等)、一键集成环境(phpstudy/bt等)。

IIS、


Apache、

 

Tomcat、

 

Nginx、

 

Struct2、

 

weblogic、

 

websphere、

 

Jboss

 

Shiro

 

Fastjson

 

解析漏洞(中间件、编辑器)

原理:特殊文件被中间件解析成脚本文件。

IIS 5.x/6.0

  • 目录解析:/xx.asp/xx.jpg
  • 文件解析:asp;.jpg .asa  .cer  .cdx

IIS 7.0/7.5

Nginx<8.03畸形解析漏洞

Nginx<8.03空字节代码执行漏洞

Apache解析漏洞

  • php.xxxx
  • 利用htaccess文件可执行与上传。

 

posted @ 2022-10-22 18:10  dustfree  阅读(70)  评论(0编辑  收藏  举报