学习日志4:web中间件漏洞-Apache篇

最新推荐文章于 2024-05-12 08:23:59 发布
最新推荐文章于 2024-05-12 08:23:59 发布
阅读量269 收藏
点赞数
分类专栏: 学习笔记 文章标签: 学习笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_37622973/article/details/100509668
版权

Apache漏洞

什么是Apache:Apache是世界使用排名第一的Web服务器软件。它可以运行在几乎所有广泛使用的计算机平台上,由于其跨平台和安全性被广泛使用,是最流行的Web服务器端软件之一。它快速、可靠并且可通过简单的API扩充,将Perl/Python等解释器编译到服务器中

漏洞:
1.文件名解析漏洞:
(1)Apache从右向左解析文件名,若无法识别,则继续向左解析,例如a.php.aaa.ccc被解析为a.php
漏洞修复:将AddHandler application/x-httpd-php.php的配置文件删除
(2)Apache的.htaccess文件解析,可以对此文件进行配置(若不存在此文件可以尝试手工上传),可以配置将某种后缀解析成某种文件,例如<FilesMatch “xxx.jpg”>etHandler application/x-httpd-php是将后缀jpg解析为php
漏洞修复(通用):
a检查文件上传路径(避免%00截断)
b文件扩展名检测(避免服务器以非常规的文件格式解析文件)
c文件MIME验证
d文件内容检测
e图片二次渲染
f文件重命名
g文件服务器和web服务器分离(如将文件上传到CDN)

2.目录遍历漏洞:
漏洞原因:配置文件httpd.conf设置Options+Indexes+FollowSymLinks +ExecCGI导致了目录遍历
修复:将配置修改为Options-Indexes+FollowSymLinks +ExecCGI

丫郎酸
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Apache中间件漏洞
记录并分享学习安全的知识点..
04-08 403
目录 一、简介 二、解析漏洞 (一)未知扩展名解析漏洞 (二)AddHandler导致的解析漏洞 (三)Apache HTTPD 换行解析漏洞( 换 CVE-2017-15715) 修复建议:
学习日志6:web中间件漏洞-Tomcat
m0_37622973的博客
09-05 279
Tomcat漏洞 什么是Tomcat:Tomcat 服务器是一个免费的开放源代码的Web 应用服务器,属于轻量级应用服务器,在中小型系统和并发访问用户不是很多的场合下被普遍使用,是开发和调试JSP 程序的首选。对于一个初学者来说,可以这样认为,当在一台机器上配置好Apache 服务器,可利用它响应HTML(标准通用标记语言下的一个应用)页面的访问请求。实际上Tomcat是Apache 服务器的扩展...
中间件安全—Apache常见漏洞
Karka_的博客
03-20 1064
简单介绍一下apache是什么,Apache是世界使用排名第一的Web服务器软件。它可以运行在几乎所有广泛使用的计算机上,由于其跨平台和安全性被广泛使用,是最流行的Web服务器端软件之一。它快速、可靠并且可通过简单的API扩充,将python等解释器编译到服务器中。ApacheHTTPD是一款HTTP服务器,它可以通过mod_php来运行PHP网页。其2.4.0~2.4.29版本中存在一个解析漏洞,在解析PHP时,1.php\x0A将被按照PHP后缀进行解析,导致绕过一些服务器的安全策略。apache
安全中级3:apache中间件漏洞
weixin_62870380的博客
06-06 1528
运维人员在配置http的默认配置文件的时候,开启了AddHandler application/x-httpd-php .php,虽然限制住了php文件,但是我们可以添加后缀.jpg,只要我们的后缀含有一个php文件就可以解析,没必要是最后一个后缀。我们上传php文件的时候,我们的服务器拒绝上传,但是 apache在配置文件的http.conf的时候开启了SSI(服务器端包含)服务,允许我们的html页面上传shtml文件,而我们的cgi是前端的一个脚本,我们利用他的语法执行任意的命令。
深入浅出带你学习Apache中间件常见漏洞
最新发布
dzqxwzoe的博客
05-12 801
上一文章给大家总结了一下IIS中间件漏洞,这文章就给大家讲一下apache中间件漏洞,说起apache大家一定不会陌生,这是我们日常中经常用到的中间件,下面由我来给大家讲解一下改中间件常见的漏洞。o" />可以看到即使不是php后缀,apache也给我们解析成了php后缀,需要注意的是利用该漏洞需要至少有一个php后缀。
网络安全应急响应-日志分析技术
Bnessy
03-24 6119
Web日志分析 一 、HTTP基础 1. HTTP报文格式解析 HTTP请求报文 HTTP请求包括3部分,分别是请求行、请求头和请求正文。 Windows NT 10.0表示操作系统内核版本号,Windows XP内核号是NT 5.1或NT 5.2(64位操作系统),Windows Vista的内核版本号是NT 6.0,Windows 7的内核版本号是NT 6.1,Windows 8的内核版本号是NT 6.2,Windows 10的内核版本号是NT 10.0。 rv:98.0是Firefox浏览器的软件
学习日志5:web中间件漏洞-Nginx
m0_37622973的博客
09-04 266
Nginx漏洞 什么是Nginx:Nginx(engine x)是一个高性能的HTTP和反向代理web服务器,同时也提供了IMAP/POP3/SMTP服务,特点是占有内存少, 并发能力强,事实上nginx的并发能力确实在同类型的网页服务器中表现较好 漏洞: 1.文件解析 版本:<8.03 利用方式:上传a.jpg/x.php,则a.jpg被解析成x.php执行 修复:(1)将php.ini文...
Web中间件常见漏洞总结(免积分)
02-09
在本文中,我们将深入探讨Web中间件中常见的安全漏洞,并提供相应的防范策略。 一、跨站脚本(XSS)攻击 XSS攻击是通过在网页中注入恶意脚本来实现的,攻击者可以获取用户敏感信息,如登录凭据。防范XSS攻击的关键...
计算机系统中apache中间件的安装包
01-27
Apache中间件是网络服务器领域的一款广泛应用的开源软件,它在计算机系统中扮演着重要的角色,为Web服务提供了高效、稳定的基础。本安装包是专为Windows 64位系统设计的,采用VC15编译器构建,确保了在Windows环境下...
apache-activemq-5.11.4-bin.zip
04-11
在解压"apache-activemq-5.11.4-bin.zip"后,用户会得到一个包含了启动脚本、配置文件、库文件和文档的目录结构。启动脚本(如bin/activemq)用于启动和停止ActiveMQ服务器,配置文件(如conf/activemq.xml)允许...
中间件漏洞合集.zip
07-15
注:仅供学习使用,不能用于非法用途,大家可以根据需要下载。
apache-activemq-5.16.6-bin.zip
12-26
这个"apache-activemq-5.16.6-bin.zip"文件包含了ActiveMQ的最新稳定版本5.16.6的二进制发行版,主要用于在各种环境中部署和运行。 **Apache ActiveMQ核心概念** 1. **消息队列(Message Queue)**: 消息队列是...
windows-服务器-Django-Apache2.4-mod-wsgi.7z
11-16
在Windows环境中部署Django web应用通常涉及到多个组件的协同工作,包括Django框架本身、Web服务器(如Apache)以及让Django与Web服务器交互的中间件(如mod_wsgi)。以下是对这些关键知识点的详细解释: 1. **...
中间件解析漏洞(服务器配置错误)
m0_69043895的博客
04-06 1306
AddType :在给定的文件扩展名与特定的内容类型之间建立映射AddType 是与类型表相关的,描述的是扩展名与文件类型之间的关系,例如:AddType application/x-httpd-php .jpg ,表示 .jpg 扩展名的文件就是 application/x-httpd-php 类型的。也就是说 php3 , php4 , php5 , pht , phtml 等文件后缀也是可以被当作 php 文件进行解析的。上传成功后直接访问,此时可以看到,info.php.uiottd已经成功执行。
网络安全应急响应----11、日志分析
热门推荐
七天
03-24 1万+
文章目录一、Windows日志二、Linux日志三、Web日志3.1、IIS中间件日志3.2、Apache中间件日志3.3、Tomcat中间件日志3.4、Weblogic3.5、Nginx中间件日志 一、Windows日志 Windows日志记录着Windows系统中硬件、软件和系统问题的信息,同时还可以监视系统中发生的事件,掌握计算机在特定时间的状态,以及了解用户的各种操作行为,并且包括有关系统、安全、应用程序的记录。 Windows系统之后,日志文件通常分为系统日志(SysEvent) 、应用程序日
【linux】apache的访问日志详解及演练
2401_84004044的博客
04-13 848
遇到问题我们一般需要看日志,服务日志和系统日志,但是apache有个访问日志,这个日志是用来做啥的,我们今天一起来探讨下。
网站服务常用中间件-日志文件存放目录&IIS&Apache&Tomcat&Nginx&Weblogic&Jboss
m0_65842464的博客
01-21 2123
用户每打开一次网页,服务中间件日志都会记录用户IP、访问的网页地址、访问时间、访问状态等信息,这些信息保存在 服务中间件日志文件里,方便网站管理员掌握网页被访问情况和 服务器运行情况
渗透测试-中间件日志包含绕过和php文件读写包含
lza20001103的博客
04-27 1624
文件包含之中间件日志包含绕过
IIS中间件漏洞详解:从解析漏洞到短文件漏洞
"本文主要分析了Web中间件的常见漏洞,特别是针对微软的IIS (Internet Information Services) Web服务器的不同版本。文中详细介绍了IIS6.x和IIS7.x的解析漏洞、安装与配置PHP以及如何修复这些漏洞的方法。此外,还...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值