Apache HTTPD 换行解析漏洞(CVE-2017-15715)

Apache HTTPD是一款HTTP服务器,它可以通过mod_php来运行PHP网页。其2.4.0~2.4.29版本中存在 一个解析漏洞,在解析PHP时,1.php\x0a将被按照PHP后缀进行解析,导致绕过一些服务器的安全策略。

影响范围

apache :2.4.0~2.4.29版本

靶场搭建

cd vulhub/httpd/CVE-2017-15715

docker-compose up -d

漏洞复现

访问

http://192.168.0.125:8080/

上传文件并抓包,并发送到repeater

给文件名加个点(.)

十六进制0a 在ascii中是lf。 lf读作"eleff",意为"换行符",

发送以后,去访问

修复建议:

1.升级到高版本

2.将上传的文件重命名为时间戳+随机数+.jpg格式并禁用上传文件目录执行脚本权限

相关推荐
毒果2 小时前
网络安全全景解析
安全·web安全
领世达检测V1335290924910 小时前
无人机EN 18031欧盟网络安全认证详细解读
安全·web安全·无人机·en 18031
tcoding11 小时前
《基于Apache Flink的流处理》笔记
笔记·flink·apache
枷锁—sha12 小时前
【DVWA系列】——xss(Reflected)——Medium详细教程
前端·网络·web安全·网络安全·xss
恰薯条的屑海鸥1 天前
零基础在实践中学习网络安全-皮卡丘靶场(第十五期-URL重定向模块)
学习·安全·web安全·渗透测试·网络安全学习
ALLSectorSorft1 天前
上门服务小程序会员系统框架设计
小程序·apache
杨过姑父1 天前
部署开源版禅道,修改apache端口无效解决
bug·apache·软件工程·issue
酷爱码1 天前
Spring Boot 整合 Apache Flink 的详细过程
spring boot·flink·apache
竹言笙熙1 天前
Polarctf2025夏季赛 web java ez_check
java·学习·web安全