Apache HTTPD多后缀解析漏洞

该漏洞和apache版本和php版本无关,属于用户配置不当造成的解析漏洞

由于Apache HTTPD支持一个文件拥有多个后缀,并为不同后缀执行不同的指令。所以如果运维人员给.php后缀增加了处理器

复制代码
AddHandler application/x-httpd-php .php

那么,在有多个后缀的情况下,只要一个文件含有.php后缀就会被识别成PHP文件,且没必要是最后一个后缀。这个特性就会形成一个可以绕过上传白名单的解析漏洞。

绕过方法:

将php文件构造成1.php.jpg的形式

例题: [UUCTF 2022 新生赛]ez_upload

相关推荐
中科三方1 小时前
APP和小程序需要注册域名吗?(国科云)
小程序·apache
向哆哆2 小时前
Java 安全:如何防止 DDoS 攻击?
java·安全·ddos
晓数2 小时前
【硬核干货】JetBrains AI Assistant 干货笔记
人工智能·笔记·jetbrains·ai assistant
我的golang之路果然有问题2 小时前
速成GO访问sql,个人笔记
经验分享·笔记·后端·sql·golang·go·database
lwewan2 小时前
26考研——存储系统(3)
c语言·笔记·考研
浩浩测试一下2 小时前
计算机网络中的DHCP是什么呀? 详情解答
android·网络·计算机网络·安全·web安全·网络安全·安全架构
搞机小能手2 小时前
六个能够白嫖学习资料的网站
笔记·学习·分类
nongcunqq3 小时前
爬虫练习 js 逆向
笔记·爬虫
汐汐咯3 小时前
终端运行java出现???
笔记
无敌小茶5 小时前
Linux学习笔记之环境变量
linux·笔记