服务器托管分析漏洞的完整解决方案
2023-06-11 分类: 网站建设
托管服务器时,用户通常执行解析操作。但是,此过程中存在各种漏洞,导致解析失败。让我们在下面总结这些漏洞。
1、Apache1.x 2.x解析漏洞
Apache服务器解析文件时,从后向前遍历后缀名,直到遇到第一个可以被识别的后缀名,则按该种后缀方式进行文件解析。
这样造成一个危害是:如果应用限制了php等敏感后缀,我们可以通过上传x.php.jpg这种未被拦截的后缀的木马上传,访问时,Apache会因为无法识别jgp,而向前寻找,找到php,按照php文件进行正常解析。木马被执行。
2、IIS6.0解析漏洞
(1)如果目录名包含.asp .asa .cer这种字样,则该目录下所有文件都被当做asp来进行解析
(2)如果文件名中包含.asp;、.asa;、.cer;这种字样,也会被优先按照asp来进行解析
3、Nginx
(1)0.8.37以下的版本,可以上传一个不被过滤后缀名的木马,如:shell.jpg,可以通过请求shell.jpg.php来进行正常解析
(2)0.8.41 - 1.5.6间的版本,可以上传一个不被过滤后缀名的木马,如:shell.jpg,可以通过请求shell.jpg%20.php来进行解析
4、PHP CGI文件解析漏洞
(1)Nginx小于0.8.3以下的版本,且当默认php配置文件cgi.fix_pathinfo=1时,可以上传一个不被过滤后缀名的木马,如:shell.jpg,通过请求shell.phhp/shell.jpg,可以使得shell.jpg被当做php来解析
(2)IIS7.0/7.5之间的版本,如果存在多个Content-Disposition,则IIS会取第一个作为接受参数,同时,如果waf只取第二个进行检测的话,则有可能被绕过过滤。
网站栏目:服务器托管分析漏洞的完整解决方案
标题来源:https://www.cdcxhl.com/news/264542.html
成都网站建设公司_创新互联,为您提供用户体验、手机网站建设、网站导航、做网站、商城网站、网站制作
声明:本网站发布的内容(图片、视频和文字)以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-86922220;邮箱:631063699@qq.com。内容未经允许不得转载,或转载时需注明来源: 创新互联
猜你还喜欢下面的内容
- 服务器托管主机与电脑的区别在于哪些方面? 2023-06-11
- 如何防止服务器托管远程故障 2023-06-11
- 服务器托管应提高安全意识 2023-06-11
- 服务器托管是否已考虑安全级别? 2023-06-11
- 是什么决定服务器托管的价格? 2023-06-11
- 什么影响服务器托管的稳定性 2023-06-11
- 服务器托管之前必须了解的十个问题 2023-06-11
- 从客户的角度来看,让托管服务器找到高质量的数据中心机房 2023-06-11
- 服务器托管和IDC有什么关系 2023-06-11
- 中小型企业选择服务器托管的实用技巧 2023-06-11
- 存储服务器托管需要注意哪些内容 2023-06-11
- 用户喜欢的服务器托管的几个方面 2023-06-11
- 服务器托管需要满足什么条件才算合格 2023-06-11
- 服务器托管满足哪些条件才合格 2023-06-11
- 刀片服务器托管注意事项 2023-06-11
- 主机托管服务之前应注意的问题 2023-06-11
- linux云服务器如何更换ip 2023-06-11
- 使用dos命令怎么生成目录结构文件 2023-06-11
- 云服务器一般需要多久重启一次 2023-06-11