zoukankan      html  css  js  c++  java
  • 中间件漏洞总结(二)- Apache

    (一) Apache简介

    Apache 是世界使用排名第一的Web 服务器软件。它可以运行在几乎所有广泛使用的 计算机平台上,由于其 跨平台 和安全性被广泛使用,是最流行的Web服务器端软件之一。它快速、可靠并且可通过简单的API扩充,将 Perl/ Python等 解释器编译到服务器中。

    (二) 解析漏洞

      1、 漏洞介绍及成因

        Apache文件解析漏洞与用户的配置有密切关系,严格来说属于用户配置问题。

        Apache文件解析漏洞涉及到一个解析文件的特性:

        Apache默认一个文件可以有多个以点分隔的后缀,当右边的后缀无法识别(不在mime.tyoes内),则继续向左识别,当我们请求这样一个文件:shell.xxx.yyy

    yyy->无法识别,向左
    xxx->无法识别,向左

        php->发现后缀是php,交给php处理这个文件

      2、 漏洞复现

        上传一个后缀名为360的php文件

        

      3、 漏洞修复

        将AddHandler application/x-httpd-php .php的配置文件删除。

    (三) 目录遍历

      1、 漏洞介绍及成因

        由于配置错误导致的目录遍历

      2、 漏洞复现

        

      3、 漏洞修复

        修改apache配置文件httpd.conf

        找到Options+Indexes+FollowSymLinks +ExecCGI并修改成 Options-Indexes+FollowSymLinks +ExecCGI 并保存;

        

         

     

     

     

     

     

     

     

     

  • 相关阅读:
    springmvc log4j 配置
    intellij idea maven springmvc 环境搭建
    spring,property not found on type
    intellij idea maven 工程生成可执行的jar
    device eth0 does not seem to be present, delaying initialization
    macos ssh host配置及免密登陆
    centos7 搭建 docker 环境
    通过rest接口获取自增id (twitter snowflake算法)
    微信小程序开发体验
    gitbook 制作 beego 参考手册
  • 原文地址:https://www.cnblogs.com/ssw6/p/12098560.html
Copyright © 2011-2022 走看看