apache .htaccess and .htpasswd disclource漏洞修复

最新推荐文章于 2023-09-11 13:34:48 发布
最新推荐文章于 2023-09-11 13:34:48 发布
阅读量751 收藏
点赞数
分类专栏: web漏洞 文章标签: apache 服务器 php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/luminous_you/article/details/122351199
版权
本文介绍了.htaccess文件的主要作用,如URL重写、权限控制等,并讲解了如何修复Apache的.htaccess和.htpasswd文件访问漏洞。通过添加特定配置,可以防止Web客户端访问这些敏感文件,增强网站安全性。同时,提供了阻止访问特定文件或文件类型的示例代码。
摘要由CSDN通过智能技术生成

.htaccess的基本作用

   .htaccess是一个纯文本文件,它里面存放着Apache服务器配置相关的指令。
   .htaccess主要的作用有:URL重写、自定义错误页面、MIME类型配置以及访问权限控制等。主要体现在伪静态的应用、图片防盗链、自定义404错误页面、阻止/允许特定IP/IP段、目录浏览与主页、禁止访问指定文件类型、文件密码保护等。
   .htaccess的用途范围主要针对当前目录

apache .htaccess and .htpasswd disclource漏洞修复:
限制对 .htaccess 文件的访问

以下配置可防止 Web 客户端查看 .htaccess 和 .htpasswd 文件。

如何测试

验证 Apache 配置文件中是否存在以下推荐配置,并确保它们没有被注释掉。

下面是错误配置

<FilesMatch "^\.ht">
Order allow
</FilesMatch>

修复

1.找到Apache配置文件和包含的配置文件。2. 将以下行添加到配置文件中。

<FilesMatch "^\.ht">
Order allow,deny
Deny from all
Satisfy All
</FilesMatch>

拓展

阻止访问你的 .htaccess 文件或者指定类型的文件
下面的代码可以阻止别人访问你的.htaccess文件。同样,你也可以设定阻止多种文件类型。

#保护你的 htaccess 文件  
<Files .htaccess>  
order allow,deny  
deny from all  
</Files>  

#阻止查看指定的文件  
<Files secretfile.jpg>  
order allow,deny  
deny from all  
</Files>  

#多种文件类型  
<FilesMatch “.(htaccess|htpasswd|ini|phps|fla|psd|log|sh)$”>  
 Order Allow,Deny  
Deny from all  
</FilesMatch>

正则表达式基础知识

. - 匹配任意字符,换行符除外(如果 dotall 为 false)。 
* - 该符号前面的字符,匹配 0 次或多次。 
+ - 该符号前面的字符,匹配 1次或多次 
? - 该符号前面的字符是可选的。匹配 0 次或 1 次。 
\d - 匹配任何单个数字。 
\w - 匹配任何一个字符(包括字母数字以及下划线)。 
[XYZ] - 匹配字符组中的任意一个字符,即 X、Y、Z 中的任意一个。 
[XYZ]+ - 匹配字符组中的一个或多个字符。 
$ - 匹配字符串结束的位置。 
^ - 匹配字符串开始的位置。 
[^a-z] - 当出现在字符类中时,^ 表示 NOT(非);对于该示例,表示匹配任何非小写字母。

参考:https://wiki.owasp.org/index.php/SCG_WS_Apache
https://www.cnblogs.com/engeng/articles/5948089.html

luminous_you
关注
专栏目录
.htaccess上传漏洞(解析漏洞
m0_51607644的博客
08-17 3981
写在前边 漏洞学习三步走: 1.了解漏洞原理 2.知道漏洞形成条件,复现漏洞 3.解决如何防范 .htaccess上传漏洞 .htaccess文件作用 概述来说,htaccess文件Apache服务器中的一个配置文件,它负责相关目 录下的网页配置。通过htaccess文件,可以帮我们实现:网页301重定向、自 定义404错误页面、改变文件扩展名、允许/阻止特定的用户或者目录的访问、 禁止目录列表、配置默认文档等功能。 Unix、Linux系统或者是任何版本的Apach
Apache配置.htaccess\.htpasswd
Clay's Coding Life
07-10 361
Apache配置.htaccess\.htpasswd 来自 Clay的日记 工作原理和使用方法 .htaccess文件(或者"分布式配置文件")提供了针对目录改变配置的方法, 即,在一个特定的文档目录中放置一个包含一个或多个指令的文件, 以作用于此目录及其所有子目录。 说明:如果需要使用.htaccess以外的其他文件名,可以用AccessFileName指令来改变。 例如,...
htaccess 的使用基本小节 For apache httpd
weixin_30700099的博客
04-24 121
htaccess 的使用基本小节 For apache httpd .htaccess的基本作用 .htaccess是一个纯文本文件,它里面存放着Apache服务器配置相关的指令。 .htaccess主要的作用有:URL重写、自定义错误页面、MIME类型配置以及访问权限控制等。主要体现在伪静态的应用、图片防盗链、自定义404错误页面、阻止/允许特定I...
Apache漏洞利用与安全加固实例分析
weixin_34277853的博客
04-06 216
Apache 作为Web应用的载体,一旦出现安全问题,那么运行在其上的Web应用的安全也无法得到保障,所以,研究Apache漏洞与安全性非常有意义。本文将结合实例来谈谈针对Apache漏洞利用和安全加固措施。 Apache HTTP Server(以下简称Apache)是Apache软件基金会的一个开放源码的网页服务器,可以在大多数计算机操作系统中运...
.htaccess文件解析漏洞
cxrpty的博客
02-17 4063
一、.htaccess文件文件提供了针对目录改便配置的方法。即在一个特定的文档目录中放置一个包含一个或者多个指令的文件,以作用于此目录及其所有子目录。作为用户,所能使用的命令受到限制。管理员可以通过Apache的AllowOverride指令来设置。 二、apache的解析漏洞 ...
Apache Optionsbleed 信息泄漏漏洞(CVE-2017-9798)
weixin_44047654的博客
01-10 2088
Apache Optionsbleed 信息泄漏漏洞(CVE-2017-9798)
让IIS支持Apache .htaccess 伪静态规则
06-09
这两种服务器在处理URL重写和伪静态规则方面有所不同,Apache通常使用的是.htaccess文件,而IIS则使用其内置的URL重写模块。本篇文章将详细讲解如何让IIS支持Apache.htaccess伪静态规则。 首先,了解什么是伪静态...
Apache服务器.htaccess文件的实用配置示例集锦
09-10
Apache服务器中的`.htaccess`文件是一个非常重要的工具,它允许网站管理员无需直接修改服务器的主配置文件即可控制和定制特定目录的行为。`.htaccess`文件主要用于实现一系列HTTP服务器的指令,如URL重写、访问控制...
apache .htaccess文件详解和配置技巧总结
01-10
 .htaccess是一个纯文本文件,它里面存放着Apache服务器配置相关的指令。 .htaccess主要的作用有:URL重写、自定义错误页面、MIME类型配置以及访问权限控制等。主要体现在伪静态的应用、图片防盗链、自定义404错误...
.htaccess文件保护实例讲解
12-18
比如说,想要保护admin文件夹,经过以下两个步骤: 步骤一、可以用记事本新建文件.htaccess,输入以下内容: AuthType BasicAuth UserFile D:/AppServ/www/Hill/admin/.htpasswd AuthName “hill” require valid-user 各行不多解释,关键是第二行,一定要是绝对路径,表示.htpasswd文件的位置。(位置任意) 然后把这个名为.htaccess文件放到admin文件夹中。 步骤二、下面就是新建一个名为.htpasswd文件,名字应该和上面第二行一致。 简单的方法:开始-运行-cmd-apache
apache开启.htaccess.htaccess的使用方法
09-11
Apache服务器上的`.htaccess`文件是一种非常强大的工具,它允许你在网站的各个目录层级上进行配置更改,而无需直接编辑服务器的主配置文件`httpd.conf`。这篇内容主要介绍了如何开启Apache对`.htaccess`的支持以及...
组件安全-- Apache httpd 漏洞复现
my的博客
09-07 175
到github的网址中下载源码的压缩包。复制粘贴压缩包到phpstudy的www目录下。
文件解析漏洞——Apache文件解析漏洞
weixin_54055099的博客
09-22 940
Apache文件解析漏洞
信息泄露-小白初识
small_whitehat的博客
02-21 1313
网站敏感信息源码泄露
WEB入门——文件上传漏洞
HasntStartIsOver的博客
06-04 6255
文件上传漏洞服务端代码未对客户端上传的文件进行严格的验证,导致漏洞。如果.php后缀被限制,可以尝试:.php3、php4、.PHp(修改大小写)、.phtml、.pht等后缀,WebShell的内容一样。这两个配置的意思就是:我们指定一个文件,那么该文件就会被包含在要执行的php文件中(如index.php)。如果客户端JS脚本有加限制(例如上传图片,JS脚本显示了只能上传图片格式,不能上传.php后缀的文件)。1、上传的文件是web脚本语言,服务器的web容器解释并执行了用户上传的脚本,脚本语言执行。
文件上传漏洞.htaccess文件解析漏洞
更多知识欢迎访问我的博客园:https://www.cnblogs.com/2ha0yuk7on/
06-01 6756
  htaccess文件Apache服务器中的一个配置文件,它负责相关目录下的网页配置。通过htaccess文件,可以帮我们实现:网页301重定向、自定义404错误页面、改变文件扩展名、允许/阻止特定的用户或者目录的访问、禁止目录列表、配置默认文档等功能。
Tomcat信息泄露漏洞
最新发布
lch_pp的博客
09-11 1092
6.删除原来的tomcat8和tomcat,并将新apache-tomcat-8.5.87改为原始的tomcat和tomcat8,并删除删除新webapps下的examples(示例)# 7.把旧的server.xml;# 1.选择无漏洞的版本,https://tomcat.apache.org/download-80.cgi。# 4.复制旧的tomcat到tomcat-old下。# 3.备份旧的tomcat。# 5.解压新的tomcat。
.htaccess文件及web漏洞介绍
Marsper的博客
11-08 1645
htaccess文件 .htaccess攻击 .htaccessApache服务器的分布式配置文件,该配置文件会覆盖Apache服务器的全局配置,作用域是当前目录及其子目录。 如果一个web应用允许上传.htaccess 文件,那就意味着攻击者可以更改Apache 的配置,这是十分危险。.htaccess攻击想象空间非常大。 首先看Apache 的配置,允许.htaccess文件覆盖掉Apache 的配置。 若配置文件中有如图中一样,即表示允许被覆盖。 *将.png文件当作PHP文件解析 将以下代码写入
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值