中间件漏洞之Apache
中间件之Apache漏洞
我们常见的中间件有IIS、Apache、Nginx,其中Apache中间件有什么漏洞呢?
Apache 解析漏洞:
漏洞原因:该解析漏洞属于用户配置问题(mime.types 文件中定义的文件类型)
漏洞先知:Apache对文件的解析顺序是从右往左的,直到遇见一个Apache可以解析的文件后缀为止
例如:a.php.php1.php2.php3
若php3为非可识别后缀,则判断php2,直到找到可识别后缀为止,然后对可识别后缀进行解析
Apache 目录遍历漏洞:
应该算是比较常见的(因为我见过很多 T0.0T)
漏洞原因:配置 Options +Indexes
时Apache存在目录遍历漏洞。
漏洞危害:可能存在敏感信息
Apache %0A截断上传漏洞(CVE-2017-15715):
漏洞原因:在2.4.0~2.4.29版本存在一个解析漏洞,在解析php时,1.php\x0A
将按照php后缀进行解析,可以绕过上传黑名单