Apache HTTPD多后缀解析漏洞

该漏洞和apache版本和php版本无关,属于用户配置不当造成的解析漏洞

由于Apache HTTPD支持一个文件拥有多个后缀,并为不同后缀执行不同的指令。所以如果运维人员给.php后缀增加了处理器

AddHandler application/x-httpd-php .php

那么,在有多个后缀的情况下,只要一个文件含有.php后缀就会被识别成PHP文件,且没必要是最后一个后缀。这个特性就会形成一个可以绕过上传白名单的解析漏洞。

绕过方法:

将php文件构造成1.php.jpg的形式

例题: [UUCTF 2022 新生赛]ez_upload

相关推荐
2201_753929246 分钟前
密码学简介
安全
乐茵安全1 小时前
windows基础
windows·安全·网络安全
General_G1 小时前
FastDDS服务发现之PDP和EDP的收发
数据库·中间件·服务发现·fast dds·rtps
chan_lay2 小时前
图论导引 - 目录、引言、第一章 - 11/05
笔记·图论
AI视觉网奇3 小时前
nvlink 训练笔记
pytorch·笔记·深度学习
亦枫Leonlew3 小时前
三维测量与建模笔记 - 3.1 相机标定基本概念
笔记·三维重建·1024程序员节·射影几何
瑞金彭于晏3 小时前
手表定律是什么?超详细+举例子+通俗易懂版!
笔记
老猿讲编程3 小时前
安全关键型嵌入式系统设计模式整理及应用实例
安全·设计模式·iso26262·do178
棱镜七彩3 小时前
棱镜七彩参加“融易行”产融对接南京站项目路演活动 展示供应链安全创新成果
安全·软件供应链安全