Apache簡(jiǎn)介

Apache 是世界使用排名第一的 Web 服務(wù)器軟件。

它可以運(yùn)行在幾乎所有廣泛使用的計(jì)算機(jī)平臺(tái)上，由于其跨平臺(tái)和安全性被廣泛使用，是最流行的 Web 服務(wù)器端軟件之一。

它快速、可靠并且可通過(guò)簡(jiǎn)單的 API 擴(kuò)充，將 Perl/Python 等解釋器編譯到服務(wù)器中。

解析漏洞

漏洞介紹及成因

Apache 文件解析漏洞與用戶的配置有密切關(guān)系，嚴(yán)格來(lái)說(shuō)屬于用戶配置問(wèn)題。

Apache 文件解析漏洞涉及到一個(gè)解析文件的特性：

Apache 默認(rèn)一個(gè)文件可以有多個(gè)以點(diǎn)分隔的后綴，當(dāng)右邊的后綴無(wú)法識(shí)別(不在 mime.tyoes 內(nèi))，則繼續(xù)向左識(shí)別，當(dāng)我們請(qǐng)求這樣一個(gè)文件：

shell.php.xxx.yyy

yyy ->無(wú)法識(shí)別，向左

xxx ->無(wú)法識(shí)別，向左

php ->發(fā)現(xiàn)后綴是 php，交給 php 處理這個(gè)文件

漏洞復(fù)現(xiàn)

上傳一個(gè)后綴名為360的php文件

正常解析

漏洞修復(fù)

將 AddHandler application/x-httpd-php .php 的配置文件刪除。

目錄遍歷

漏洞介紹及成因

由于配置錯(cuò)誤導(dǎo)致的目錄遍歷

漏洞復(fù)現(xiàn)

漏洞修復(fù)

修改 apache 配置文件 httpd.conf

找到 Options +Indexes +FollowSymLinks +ExecCGI 修改成 Options -Indexes+FollowSymLinks +ExecCGI 并保存；

總結(jié)

以上是生活随笔為你收集整理的apache不能解析php文件_Web中间件漏洞之Apache篇的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。