- Rongsen.Com.Cn 版权所有 2008-2010 京ICP备08007000号 京公海网安备11010802026356号 朝阳网安编号:110105199号
- 北京黑客防线网安工作室-黑客防线网安服务器维护基地为您提供专业的
服务器维护
,企业网站维护
,网站维护
服务 - (建议采用1024×768分辨率,以达到最佳视觉效果) Powered by 黑客防线网安 ©2009-2010 www.rongsen.com.cn
防止apache的php扩展名解析漏洞
作者:黑客防线网安Apache教程网 来源:黑客防线网安Apache教程网 浏览次数:0 |
黑客防线网安网讯:起 来很长时间很多版本存在的apache的php扩展名解析漏洞,主要问题是:不管文件最后后缀为什么,只要是.php.*结尾,就会被Apache服务器 解析成php文件,问题是apache如果在mime.types文件里面没有定义的扩展名在诸如
起 来很长时间很多版本存在的apache的php扩展名解析漏洞,主要问题是:不管文件最后后缀为什么,只要是.php.*结尾,就会被Apache服务器 解析成php文件,问题是apache如果在mime.types文件里面没有定义的扩展名在诸如x1.x2.x3的情况下,最后一个x3的没有定义,他 会给解析成倒数第二个的x2的定义的扩展名。所以xxx.php.rar或者 xxx.php.111这些默认没在mime.types文件定义的都会解析成php的。同样如果是cgi或者jsp也一样,那怎么样防止这个问题发生 能?
1、可以在mime.types文件里面定义常用的一些扩展名,
如:application/rar rar
但是这个没解决问题,我们不可能全把所有的都定义吧。
2、取消上传,这个也不太可能。
3、上传文件强制改名,这个由程序实现,如果在虚拟机比较多,开发人员多的情况下也不靠谱。
4、比较靠谱的终极大法,禁止*.php.*这种文件执行权限,当然可能误杀,但是基本上这种规则的文件名肯定有问题。
<FilesMatch "\.(php.|php3.)">
Order Allow,Deny
Deny from all
</FilesMatch>
1、可以在mime.types文件里面定义常用的一些扩展名,
如:application/rar rar
但是这个没解决问题,我们不可能全把所有的都定义吧。
2、取消上传,这个也不太可能。
3、上传文件强制改名,这个由程序实现,如果在虚拟机比较多,开发人员多的情况下也不靠谱。
4、比较靠谱的终极大法,禁止*.php.*这种文件执行权限,当然可能误杀,但是基本上这种规则的文件名肯定有问题。
<FilesMatch "\.(php.|php3.)">
Order Allow,Deny
Deny from all
</FilesMatch>
黑客防线网安服务器维护方案本篇连接:http://www.rongsen.com.cn/show-19191-1.html
新闻栏目
| 我要申请本站:N点 | 黑客防线官网 | |
| 专业服务器维护及网站维护手工安全搭建环境,网站安全加固服务。黑客防线网安服务器维护基地招商进行中!QQ:29769479 |