php目录遍历漏洞 修复,PHP目录遍历漏洞(CVE-2012-1172)

最新推荐文章于 2024-05-22 08:00:00 发布
最新推荐文章于 2024-05-22 08:00:00 发布
阅读量403 收藏
点赞数
文章标签: PHP 安全漏洞 目录遍历 修复补丁 CVE-2012-1172

发布日期:2012-05-07

更新日期:2012-05-08

受影响系统:

PHP PHP 5.3.x

不受影响系统:

PHP PHP 5.4.1

PHP PHP 5.3.11

描述:

--------------------------------------------------------------------------------

BUGTRAQ  ID: 53403

CVE ID: CVE-2012-1172

PHP是一种HTML内嵌式的语言,PHP与微软的ASP颇有几分相似,都是一种在服务器端执行的嵌入HTML文档的脚本语言,语言的风格有类似于C语言,现在被很多的网站编程人员广泛的运用。

PHP在实现上存在目录遍历漏洞,远程攻击者可利用带有目录遍历序列的特制请求检索、破坏或上传任意位置上的任意文件。

链接:https://bugzilla.RedHat.com/show_bug.cgi?id=799187

*>

建议:

--------------------------------------------------------------------------------

厂商补丁:

PHP

---

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

http://www.php.net0b1331709591d260c1c78e86d0c51c18.png

Alabaaaa
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
路径遍历与文件读取漏洞以及其修复方案
pygain的博客
10-17 3万+
一些网站的业务需求,可能提供文件查看或下载功能,如果对用户查看或下载的文件不做限制,那么用户就能够查看和下载任意2文件,可以使源代码文件、敏感文件等
复现 CVE2012-2122漏洞 ,用两种攻击方式复现
weixin_64655821的博客
08-26 958
复现 CVE2012-2122漏洞 ,用两种攻击方式复现 复现mysql 备份上传木马,并用shell工具连接操作
【路径遍历漏洞】查找、利用、预防
08-20 5882
【路径遍历漏洞】确定攻击目标、探查路径遍历漏洞、避开遍历攻击障碍、处理定制编码、利用遍历漏洞
目录遍历漏洞原理、解决方案
qq_44005305的博客
03-10 5392
目录遍历(路径遍历)是由于web服务器或者web应用程序对用户输入的文件名称的安全性验证不足而导致的一种安全漏洞,使得攻击者通过利用一些特殊字符就可以绕过服务器的安全限制,访问任意的文件(可以使web根目录以外的文件),甚至执行系统命令。
目录遍历漏洞
最新发布
qq_68163788的博客
05-22 1455
目录遍历漏洞(Directory Traversal Vulnerability),也称为路径遍历漏洞,是指攻击者可以在没有得到授权的情况下,访问服务器上的敏感文件或目录,甚至可以直接获取服务器的控制权。 目录遍历漏洞的原理是利用Web应用程序中对用户输入数据的不完全过滤和验证,攻击者可以构造特定的URL请求,通过在URL中添加../等符号,来访问系统中的其他目录或文件。例如,攻击者可以通过以下URL访问系统中的敏感文件:http://www.example.com/index.php?page=../
php常见的45个漏洞及解决方案
qqrrjj2011的博客
03-06 2543
php常见45个漏洞及解决方案
浅谈“目录浏览漏洞目录遍历漏洞
热门推荐
→_→
05-25 1万+
一:漏洞名称: 目录浏览漏洞 描述: 目录浏览漏洞属于目录遍历漏洞的一种,目录浏览漏洞是由于网站存在配置缺陷,存在目录可浏览漏洞,这会导致网站很多隐私文件与目录泄露,比如数据库备份文件、配置文件等,攻击者利用该信息可以更容易得到网站权限,导致网站被黑。 风险:攻击者通过访问网站某一目录时,该目录没有默认首页文件或没有正确设置默认首页文件,将会把整个目录结构列出来,将网站结构完全暴露给攻击者; 攻击者可能通过浏览目录结构,访问到某些隐秘文件(如PHPINFO文件、服务器探针文件、网站管理员后台
远程执行代码漏洞(CVE-2018-0886)漏洞修复
08-21
**远程执行代码漏洞(CVE-2018-0886)详解及修复** 远程执行代码漏洞(Remote Code Execution,RCE)是网络安全领域的一个重要话题,它指的是攻击者利用软件中的漏洞,在未经用户授权的情况下,能够在目标系统上执行...
Apache Flink目录遍历(CVE-2020-17519)批量检测脚本
09-24
2021年1月5日,Apache Flink官方发布安全更新,修复了由蚂蚁安全非攻实验室发现提交的2个高危漏洞漏洞之一就是Apache Flink目录遍历漏洞(CVE-2020-17519)。 Flink核心是一个流式的数据流执行引擎,其针对数据流的...
Apache Flink目录遍历(CVE-2020-17519)单目标检测工具
09-24
2021年1月5日,Apache Flink官方发布安全更新,修复了由蚂蚁安全非攻实验室发现提交的2个高危漏洞漏洞之一就是Apache Flink目录遍历漏洞(CVE-2020-17519)。 Flink核心是一个流式的数据流执行引擎,其针对数据流的...
渗透笔记之web漏洞概述
晚风不及你
03-13 1640
文章目录1.敏感信息泄露风险等级敏感信息泄露描述敏感信息泄露的危害敏感信息泄露修复方式2.SQL注入风险等级SQL注入漏洞描述SQL注入漏洞危害SQL注入分类SQL注入工具SQL注入相关书籍SQL注入漏洞修复方式3.XSS跨站脚本风险等级XSS跨站脚本描述XSS跨站脚本攻击漏洞危害XSS跨站脚本攻击分类XSS跨站脚本的相关书籍XSS跨站脚本检测工具XSS跨站脚本修复方式4.CSRF伪造客户端请求风...
漏洞复现----35、uWSGI PHP 目录遍历漏洞 (CVE-2018-7490)
七天
06-27 1945
uWSGI目录遍历漏洞
简单的目录遍历漏洞和文件读取漏洞
san3144393495的博客
04-20 801
通过这些漏洞可以获取目录下面有什么文件,文件夹叫什么都能获取,通过这个漏洞获取是整个网站的源码结构,能够获取到对方服务器下面有什么文件,目录名字是什么,这个漏洞就会造成一种危害,关于网站上敏感东西的泄露,网站源码结构也会泄露,就是这个网站的源码会区分有数据库文件,后台文件,数据文件,假如这个网站有备份文件,备份到了这个目录的下面,你一开始不知道有这个文件,但是通过漏洞发现下面有个文件夹是备份文件命名,就可以通过网站下载这个网站们之间访问文件地址取下载,这个文件下载出来肯定有很大的帮助。简单的文件上传漏洞
php目录遍历漏洞复现,nginx解析漏洞,配置不当,目录遍历漏洞环境搭建、漏洞复现...
weixin_42176612的博客
03-20 272
nginx解析漏洞,配置不当,目录遍历漏洞复现1.Ubuntu14.04安装nginx-php5-fpm安装了nginx,需要安装以下依赖sudo apt-get install libpcre3 libpcre3-devsudo apt-get install zlib1g.devsudo apt-get install libssl-dev安装php:apt-get install php5-...
php5.4.1,PHP 5.4.1/5.3.11 正式版发布
weixin_39957265的博客
04-09 57
PHP 5.4.1/5.3.11正式版发布。2012-04-26 上一个版本是2012-03-02的5.4.0和2012-02-02的5.3.10。这个版本可以支持Apache 2.4了。还修正了超过60个的bug.建议大家升级。发布声明:Security Enhancements for PHP 5.4.1:Fixed bug #54374 (Insufficient validating of...
代码审计——目录遍历详解
Boom!脑洞大爆炸的博客
06-17 381
代码审计之目录遍历详解
信息泄露(目录遍历phpinfo,备份文件下载)
2401_82760239的博客
04-07 1085
路径遍历,路径遍历(也称目录遍历漏洞允许攻击者通过修改URL或文件请求参数,来访问服务器上的目录以外的文件。在使用vim时会创建临时缓存文件,关闭vim时缓存文件则会被删除,当vim异常退出后,因为未处理缓存文件,导致可以通过缓存文件恢复原始文件内容。任意文件下载,当应用程序未能限制可下载文件的范围时,攻击者可以下载服务器上的任意文件,包括配置文件、源代码、数据备份等。,会下载一个DS_Store文件,将该文件用010编辑器打开,会发现有一个类似txt文件名的一串字符,将。
详细介绍一下tomcat的目录遍历漏洞CVE-2020-1938)
04-29
Tomcat 目录遍历漏洞CVE-2020-1938)是一种文件包含漏洞,影响 Apache Tomcat 服务器的 AJP 协议。 AJP 协议(Apache JServ Protocol)是 Apache HTTP Server 与 Tomcat 之间通信的一种协议,可以通过 mod_jk、mod_proxy_ajp 或 mod_cluster 等模块使用。攻击者可以通过发送恶意请求,利用该漏洞读取远程服务器上的任意文件,包括敏感配置文件、源代码等。 漏洞的原理是,攻击者在请求中添加特殊的 AJP 协议数据包,伪装成合法的请求,欺骗 Tomcat 服务器将任意文件作为响应返回。 该漏洞影响 Apache Tomcat 9.0.0.M1 到 9.0.31、8.5.0 到 8.5.51、7.0.0 到 7.0.100 版本,已经被评为“高危”漏洞。 为了修复漏洞,可以升级到 Tomcat 9.0.32、8.5.52 或 7.0.100 以上版本。如果不能立即升级,也可以在 AJP 协议前面添加一个安全网关(如 Web 服务器或反向代理服务器),或者关闭 AJP 协议。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值