web root下放置图片_Apache HTTP存在提权漏洞,威胁共享Web主机安全性

最新推荐文章于 2022-04-05 22:00:14 发布
最新推荐文章于 2022-04-05 22:00:14 发布
阅读量75 收藏
点赞数
文章标签: web root下放置图片

f1082c45a2862cf675150cd8a8e3a21b.png

据外媒报道,安全工程师Charles Fol发现Apache HTTP Server软件中存在权限提升漏洞,黑客可通过记分板操作执行任意代码2.4.17到2.4.38版本受影响。

e686d650d5d06163d53940cc0f734d38.png
图片来源于pixbay

该漏洞被跟踪为CVE-2019-0211,在Apache HTTP Server2.4.17至2.4.38版本中,黑客在低权限的子进程或线程中可以使用MPM event模型、worker或prefork模式,通过操纵记分板以父进程的权限(通常是root权限)执行任意代码。

1e7fe3a69196ec1aed1ea1daec05cdb3.png
图片来源于pixbay

据悉,Apache Web服务器为整个Internet提供了近40%的服务,当Web服务器用于运行共享托管实例时,CVE-2019-0211漏洞会带来严重风险。攻击者可通过上传CGI脚本,利用该漏洞获取服务器的root访问权限,最终危及其他所有托管在同一服务器上的网站。

0ad3951578409e46ed70f081649375ff.png
图片来源于pixbay

截至目前,Apache开发人员在发布的最新版本2.4.39中修复了该漏洞,同时还修补了三个可能导致崩溃、免费读取和规范化不一致问题的低严重性漏洞,专家建议用户尽快升级版本以免遭受攻击

weixin_39828783
关注
[网络安全自学篇] 四十八.Cracer第八期——(1)安全术语、Web渗透流程、Windows基础、注册表及黑客常用DOS命令
杨秀璋的专栏
02-21 2万+
这是作者的网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您们喜欢,一起进步。前文分享了微软证书漏洞(CVE-2020-0601),并详细讲解了Windows验证机制、可执行文件签名复现及HTTPS劫持。本文将分享另一个主题——Cracer教程,第一篇文章将详细讲解安全术语、Web渗透流程和Windows基础、注册表及黑客常用DOS命令。基础性文章,希望对您有所帮助。
【愚公系列】2023年05月 网络安全高级班 079.Kali Linux&Metasploit渗透测试(Metasploit漏洞利用阶段)
时光隧道
05-31 7724
Metasploit实战通常可以分为三个阶段:信息搜集、漏洞利用和提权。信息搜集阶段:在这个阶段中,渗透测试人员需要利用各种可用的信息收集工具和技术收集目标系统的关键信息。这些信息可能包括目标系统的IP地址、端口、网络拓扑、服务和应用程序版本信息、操作系统、Web应用程序框架等等。漏洞利用阶段:在这个阶段中,渗透测试人员使用已知的或自己发现的漏洞来攻击目标系统。渗透测试人员使用Metasploit框架来执行攻击,并尝试获得对目标系统的访问权限。这个阶段中还可能包括密码破解和社会工程学等攻击技术。
web root放置图片_可视化 Web 日志监控工具 GoAccess
weixin_39969298的博客
12-12 169
简介GoAccess 是一个开源的实时网络日志分析器和交互式查看器,可以在 Linux/Unix 系统或通过浏览器的终端中运行。它为需要动态可视服务器报告的系统管理员提供快速且有价值的 HTTP 统计信息。特性快速, 实时, 毫秒/秒级更新, C 语言编写 仅依赖 ncurses 模块 几乎支持所有 Web 日志 格式 (Apache, Nginx, Amazon S3, Elastic Load...
web root放置图片_测开技能Web开发 React 学习(十)表单
weixin_39618456的博客
12-10 74
系列文章测开技能--Web开发 React 学习(一)测开技能--Web开发 React 学习(二)环境搭建测开技能--Web开发 React 学习(三)元素的渲染测开技能--Web开发 React 学习(四)元素的动态渲染测开技能--Web开发 React 学习(五)JSX测开技能...
WEB服务器群集——Apache网页深入优化
weixin_45683092的博客
12-20 355
ab压力测试工具 Apache自带压力才是工具ab,简单易用,且可以模拟各种条件对Web服务器发起测试请求 ab工具可以直接在Web服务器本地发起测试请求,这对于需要了解服务器的处理性能至关重要,因为它不包括数据的网络传输时间以及用户PC本地的计算时间,从而可以通过观测各种时间指标判断Web服务器的性能,以便进行参数的优化调整 在进行性能调整优化过程中,可以用ab压力测试工具进行优化效果的测试 优...
web渗透常见漏洞总结
gugonggugong的博客
01-14 3534
一、SQL注入 1. 原理 SQL:结构化查询语言 所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。 SQL注射能使攻击者绕过认证机制,完全控制远程服务器上的数据库。 当应用程序使用输入内容来构造动态sql语句以访问数据库时,会发生sql注入攻击;如果代码使用存储过程,而这些存储过程作为包含未筛选的用户输入的字符串来传递,也会发生sql注入。 2. 不同数据库的注入 MySQL access...
http协议传输图片
aijiaoxiaodetuzi的博客
08-30 1万+
1. 通过org.apache.http.client.HttpClient public String upload(String uri,String token,File f) throws UnsupportedEncodingException { String result = null; MultipartEntityBuilder meb = Multip
Web安全攻防渗透测试实战指南笔记 三
Ren59421的博客
04-05 8053
第二章 2.1 在Linux系统中安装LANMP LANMP是Linux下Apache、Nginx、MySQL和PHP的应用环境,本节演示的是WDLinux的一款集成的安装包。 首先,下载需要的安装包,命令如下所示。 wegt http://dl.wdlinux.cn/files/lanmp_v3.tar.gz 下载完成后进行解压,解压文件的命令为tar zxvf lanmp_v3.tar.gz,运行环境如下图所示。 输入sh lanmp.sh命令运行LANMP,这时程...
Linux之apache服务搭建以及浅析web安全
wma664620的博客
01-10 384
WEB服务器的架设,在linux有一个很著名的架构叫lamp:linux+apache+mysql+php,就知道apache的分量了。   在搭建apache服务钱需要做DNS服务器 DNS的搭建/10319657/1852795 http的详解/10319657/1837595 apache 后台进程:httpd 脚本:/etc///httpd
[网络安全自学篇] 六十.Cracer第八期——(2)五万字总结Linux基础知识和常用渗透命令
杨秀璋的专栏
03-19 1万+
作为Web渗透的初学者,Linux基础知识和常用命令是我们的必备技能,本文详细讲解了Linux相关知识点及Web渗透免了高龄。如果想玩好Kali或渗透,你需要学好Linux及相关命令,以及端口扫描、漏洞利用、瑞士军刀等工具。安全领域通常分为网络安全(Web渗透)和系统安全(PWN逆向)两个方向。非常基础的一篇文章,希望能够帮助到您!
Webgoat--访问控制缺陷
hee_mee的博客
06-17 833
ZeroNIl
Apache 服务器存在高危提权漏洞,请升级至最新版本 2.4.39
cpongo5
04-05 2401
开发四年只会写业务代码,分布式高并发都不会还做程序员? >>> Apache HTTP 服务器于4月...
Apache HTTP Server 安全漏洞(CVE-2019-0211)
雷电一号
07-03 5711
Apache软件基金会(Apache Software Foundation)近日修补了Apache HTTP Server上的一个严重漏洞,此一编号为CVE-2019-0211的安全漏洞属于本地端权限扩张漏洞,将允许黑客取得系统的最高权限以执行任意程序,从2015年10月发表的2.4.17到今年2月发表的2.4.38的十多个版本都遭殃,用户应尽快升级到4月1日释出的2.4.39。此一漏洞可在Apache HTTP Server执行Gracefully Restart时被触发,允许在较低权限的子程序中运作的
Web中间件常见安全漏洞总结
qq_40907977的博客
08-14 6737
IIS IIS是Internet Information Services的缩写,意为互联网信息服务,是由微软公司提供的基于运行Microsoft Windows的互联网基本服务。IIS目前只适用于Windows系统,不适用于其他操作系统。 解析漏洞 IIS 6.X 基于文件名 该版本 默认会将 *.asp;.jpg 此种格式的文件名,当成Asp解析,原理是 服务器默认不解析; 号及其后面的内容,相当于截断。 基于文件夹名 该版本 默认会将 *.asp/目录下的所有文件当成Asp解析。 另外,IIS6.
WebStorm导入图片
热门推荐
darongzi1314的专栏
06-29 2万+
点击右键,出现Reveal In Finder 然后进到文件夹所在地方,把你要导入的文件往工程里一拽,即可。 HTML 图像是通过 标签进行定义的。因此,你在要使用这张图片的时候,只需 img src="image.jpg" width="100" height="73.3" />即可。WebStrom其中一点比较好的就是可以提示你图片的宽和高,很人性化啊。
基于 python 实现的ios混淆脚本工具
10-01
【作品名称】:基于 python 实现的ios混淆脚本工具 【适用人群】:适用于希望学习不同技术领域的小白或进阶学习者。可作为毕设项目、课程设计、大作业、工程实训或初期项目立项。 【项目介绍】: . addNative.py 生成oc垃圾代码工具 此脚本会扫描指定目录,给OC文件添加垃圾函数,同时创建垃圾文件到/trash目录。 参数说明 --oc_folder OC_FOLDER OC_FOLDER为OC代码所在目录 --replace替换OC_FOLDER下的原文件,同时原代码会备份到脚本目录下的backup_ios目录。不指定此项垃圾代码只会放到脚本目录下的target_ios/ addNative.py里还有一些配置可以看需求手动修改,如生成垃圾文件的数量,垃圾函数的数量,忽略文件列表等,具体请查看代码顶部相关注释 renameNative.py 修改类名前缀工具 类名是引用可能较为复杂 【资源声明】:本资源作为“参考资料”而不是“定制需求”,代码只能作为参考,不能完全复制照搬。需要有一定的基础能够看懂代码,能够自行调试代码并解决报错,能够自行添加功能修改代码。
基于SOM算法对IRIS数据集分类_Learning-Som_IrisClassification.zip
10-01
基于SOM算法对IRIS数据集分类_Learning-Som_IrisClassification
06_摄影展示小程序.zip
最新发布
10-01
我们的小程序源码功能多样,涵盖社交、电商等领域。高度定制化,轻松打造专属风格。用户体验佳,界面美观操作便捷。安全可靠,保障数据与运行稳定。适合创业者、企业和开发者。提供技术支持与文档说明。快来下载,开启精彩之旅!
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值