|
[推荐]apache文件名解析缺陷漏洞利用
来源:amxku blog
apache 文件名解析时,是从后面开始检查后缀,按最后一个合法后缀执行。如:cmdshell.php.amxku 因为amxku不被apache解析,所以apache把这个文件当php文件解析了。
可以参见http://www.4ngel.net/article/63.htm
如果无法搞定代码的话,可以用.htaccess搞定,
<FilesMatch "\.php\.">
order deny,allow
deny from all
</FilesMatch>
在国外的一个什么站点上找到的,如果要加到 httpd.conf 的配置里,还不知道要怎么弄。先记录一下。
| 新云CMS Online.asp页面过滤不严 | 02-26 |
| 对网软网上购物系统的漏洞分析 | 01-09 |
| 测试SQL防注入脚本 | 12-21 |
| Google Xss又出跨站新漏洞 | 11-06 |
| 一次简单的html injection导致的 | 11-06 |
| 风讯、科讯漏洞利用 | 11-01 |
| Adobe pdf reader URI利用方式浅 | 10-23 |
| 超星阅览器的最新0DAY | 10-19 |
| 运用SQL Injection做数据库渗透的 | 09-22 |
| sa-blog 0day | 09-22 |
| HTML注入的一些简单想法 | 09-10 |
| 网站登陆接口的攻与防 | 09-04 |
您现在的位置: