防止apache的php扩展名解析漏洞_WIN2003服务器维护_黑客防线网安服务器维护基地--Powered by WWW.RONGSEN.COM.CN

防止apache的php扩展名解析漏洞

作者:黑客防线网安Apache教程网 来源:黑客防线网安Apache教程网 浏览次数:0

黑客防线网安网讯:起 来很长时间很多版本存在的apache的php扩展名解析漏洞,主要问题是:不管文件最后后缀为什么,只要是.php.*结尾,就会被Apache服务器 解析成php文件,问题是apache如果在mime.types文件里面没有定义的扩展名在诸如
起 来很长时间很多版本存在的apache的php扩展名解析漏洞主要问题是:不管文件最后后缀为什么只要是.php.*结尾,就会被Apache服务器 解析成php文件,问题是apache如果在mime.types文件里面没有定义的扩展名在诸如x1.x2.x3的情况下,最后一个x3的没有定义,他 会给解析成倒数第二个的x2的定义的扩展名所以xxx.php.rar或者 xxx.php.111这些默认没在mime.types文件定义的都会解析成php的同样如果是cgi或者jsp也一样,那怎么样防止这个问题发生 能?

1、可以在mime.types文件里面定义常用的一些扩展名,
如:application/rar rar
但是这个没解决问题,我们不可能全把所有的都定义吧。

2、取消上传,这个也不太可能。

3、上传文件强制改名,这个由程序实现,如果在虚拟机比较多,开发人员多的情况下也不靠谱。

4、比较靠谱的终极大法,禁止*.php.*这种文件执行权限,当然可能误杀,但是基本上这种规则的文件名肯定有问题。
<FilesMatch "\.(php.|php3.)">
Order Allow,Deny
Deny from all
</FilesMatch>
    黑客防线网安服务器维护方案本篇连接:http://www.rongsen.com.cn/show-19191-1.html
网站维护教程更新时间:2012-11-29 02:49:21  【打印此页】  【关闭
我要申请本站N点 | 黑客防线官网 |  
专业服务器维护及网站维护手工安全搭建环境,网站安全加固服务。黑客防线网安服务器维护基地招商进行中!QQ:29769479

footer  footer  footer  footer