Apache HTTPD多后缀解析漏洞

该漏洞和apache版本和php版本无关,属于用户配置不当造成的解析漏洞

由于Apache HTTPD支持一个文件拥有多个后缀,并为不同后缀执行不同的指令。所以如果运维人员给.php后缀增加了处理器

复制代码
AddHandler application/x-httpd-php .php

那么,在有多个后缀的情况下,只要一个文件含有.php后缀就会被识别成PHP文件,且没必要是最后一个后缀。这个特性就会形成一个可以绕过上传白名单的解析漏洞。

绕过方法:

将php文件构造成1.php.jpg的形式

例题: [UUCTF 2022 新生赛]ez_upload

相关推荐
ACRELKY4 小时前
【黑科技护航安全】分布式光纤测温:让隐患无处可藏
科技·安全
叠叠乐4 小时前
rust Send Sync 以及对象安全和对象不安全
开发语言·安全·rust
zhu12893035565 小时前
网络安全的现状与防护措施
网络·安全·web安全
澳鹏Appen5 小时前
AI安全:构建负责任且可靠的系统
人工智能·安全
zhu12893035567 小时前
网络安全与防护策略
网络·安全·web安全
zhuyixiangyyds7 小时前
day21和day22学习Pandas库
笔记·学习·pandas
DevSecOps选型指南8 小时前
2025年企业级开源治理实践与思考
安全·开源·sca·软件供应链安全厂商
jingjingjing11118 小时前
笔记:docker安装(ubuntu 20.04)
笔记·docker·容器
还是鼠鼠8 小时前
Node.js全局生效的中间件
javascript·vscode·中间件·node.js·json·express
virelin_Y.lin8 小时前
系统与网络安全------Windows系统安全(1)
windows·安全·web安全·系统安全