注意,经测试,本情况发生在少量配置有问题的服务器上.一般正式版apache无此问题.
一般的网站都会开放rar附件上传,并可能会保留原来文件名称,这从而可能导致一个很严重的问题,xxx.php.rar文件会被Apache当作php文件来执行, 造成极大的安全隐患 .
如何测试? 将你的某个php程序文件后缀名修改成 xxx.php.rar , 这时测试一下, 还是按照PHP文件解析执行,Apache并不会认为这是一个rar文件, 这是为什么呢?
原来,每遇到一种后双重后缀名(如xxx.php.rar)的文件,Apache都会去conf/mime.types 文件中检查最后一个后缀, 如果最后一个后缀并没有在mime.types文件中定义, 则使用前一个后缀来解释 , 因为在默认情况下,rar并未在mime.types中定义, 故Apache会使用php后缀来解释文件, 这就是漏洞的原因所在.
由此类推,如果使用xxx.jsp.ppp.rar 则会认为是jsp文件, 如果修改成xxx.shtml.rar ,则会识别成shtml文件.
a.php.c.d.e.rar 也是会被当成PHP文件解释的!
1.修改mime.types文件,在最后面加一条:
application/rar rar
然后重新启动Apache,即可.
1.只允许上传指定后缀名的文件,当然,要禁止掉rar格式文件上传.(但这条往往行不通,一般的网站都需要上传rar文件) .
2.对上传后的文件进行强制重命名, 强制使用最后一个扩展名,如原始文件名为xxx.php.rar ,上传后强制重命名为 20080912.rar即可避免这个隐患.
早期版本的phpcms 2007, discuz, ecshop都存在这个漏洞, 或许你的网站被挂马,就是因此引起.
application/x-rar-compressed .rar
AddType application/x-rar-compressed; application/x-compressed .rar
AddType compressed/rar; application/x-rar-compressed .rar
分享到:
相关推荐
Apache PHP4/PHP5 MySQL3/4/5 (PHP必须在非安全模式下运行) 建议使用**台:Linux Apache2.2 PHP5.2 MySQL5.0 3、PHP必须环境或启用的系统函数: allow_url_fopen GD扩展库 MySQL扩展库 系统函数 —— phpinfo、...
XDcms多语言企业网站管理系统简介 XDcms是南宁旭东网络科技有限公司推出的一套完全开源的通用的内容管理系统。主要使用php mysql smarty技术基础进行开发,XDcms采用OOP(面向对象...4、修复留言模块不能调用系统设置
38. 文件上传处理 39. 使用远程文件 40. 连接处理 41. 数据库永久连接 42. 安全模式 43. PHP 的命令行模式 VI. 函数参考 I. .NET 函数 II. Advanced PHP debugger III. Alternative PHP Cache IV. Apache 特有函数 V...
38. 文件上传处理 39. 使用远程文件 40. 连接处理 41. 数据库永久连接 42. 安全模式 43. PHP 的命令行模式 VI. 函数参考 I. .NET 函数 II. Advanced PHP debugger III. Alternative PHP Cache IV. Apache 特有函数 V...
php_manual_zh-PHP中文手册(2010-08-16).part1.rar PHP 手册 by: Mehdi Achour Friedhelm Betz Antony Dovgal Nuno Lopes Hannes Magnusson Georg Richter Damien Seguy Jakub Vrana 其他贡献者 2010-08-...
php_manual_zh-PHP中文手册(2010-08-16).part2.rar PHP 手册 by: Mehdi Achour Friedhelm Betz Antony Dovgal Nuno Lopes Hannes Magnusson Georg Richter Damien Seguy Jakub Vrana 其他贡献者 2010-08-...
Tomcat Native 这个项目可以让 Tomcat 使用 Apache 的 apr 包来处理包括文件和网络IO操作,以提升性能。 预输入搜索 Cleo Cleo 是一个灵活的软件库用于处理一些预输入和自动完成的搜索功能,该项目是 LinkedIn 公司...
OESOP_SERVER 系列是专为用户能够快速简便的安装构建OESOP系统及系统运行 所需环境而开发的。... 如果需要将程序上传至远程虚拟主机空间或者实际服务器中, 则应去掉 :6033 ,使用服务器默认的 MySQL 服务端口
有四五年没搞php了,之前还停留下notepad++和echo调试的地步。前段时间帮别人修改个项目,心血来潮搭建个phptorm...其中的phptorm2019.1.2放在另一个资源里面了,上传限制240MB,多体谅! php7.4.1里包含xdebug2.9.1
■以 Apache 模块安装时 ■文件系统安全 ■数据库安全 ■错误报告 ■使用 Register Globals ■用户提交的数据 ■魔术引号 ■隐藏 PHP ■保持更新 ■特点 ■用 PHP 进行 HTTP 认证 ■Cookie ■会话 ■处理 XForms ■...
支持IIS,Domino,Websphere,Apache等所有后台服务器类型和JSP,ASP,PHP,PERL等编程语言。 6.支持手写签名和加密的电子印章 ; 7.支持从本地或服务器URL获取加密的电子印章 ; 8.支持从服务器URL或本地直接插入...
■以 Apache 模块安装时 ■文件系统安全 ■数据库安全 ■错误报告 ■使用 Register Globals ■用户提交的数据 ■魔术引号 ■隐藏 PHP ■保持更新 ■特点 ■用 PHP 进行 HTTP 认证 ■Cookie ■会话 ■处理 XForms ■...
■以 Apache 模块安装时 ■文件系统安全 ■数据库安全 ■错误报告 ■使用 Register Globals ■用户提交的数据 ■魔术引号 ■隐藏 PHP ■保持更新 ■特点 ■用 PHP 进行 HTTP 认证 ■Cookie ■会话 ■处理 XForms ■...
在线修改编辑模版,上传的图片和内容自动按日期归档,管理更方便,about页面编辑,让您的网站更有个性,支持app插件扩展功能,一键备份恢复数据库,支持输出sitemap.xml功能,支持RSS和网站地图输出功能。 Axublog...
它可以把长长的URL地址转化成很短的地址,基于php mysql开发,速度快,对服务器压力很小,支持apache和nginx,采用 wordpress一致的rewrite规则,具体规则己经打包在下载安装包里面。 安装很简单,上传所有文件到...
使用说明: 根据需要修改config.php的内容,上传即可 模板文件在template目录里,需要者可自行...需要apache,并支持.htaccess,RewriteRule,curl库 不支持在IIS下运行 更新说明:081125 修正首页部分url替换更新
5.将本程序上传至你的网站空间后...需运行:http://你的域名/install.php 执行安装...安装完成后,程序将自行删除install文件 (注意:程序需放在根目录下)... 6.首先用户用Editplus或Zend等开发工具打开libs目录下的...
1. 可用的 WEB 服务器,如 Apache、Nginx、IIS 等 2. PHP 5.2.17 及以上 3. MySQL 5.1.30 及以上 系统安装: 1、安装ecshop商城系统。 2、上传 upload 目录中所有文件到服务器ecshop商城系统的mobile目录 3、...
PHP多图片上传程序为PHP文件上传程序。在某网站看到其程序,索要及买源码未果。通过开发人员工具及其他抓包程序进行相关文件获取。经过自己写后台代码,不断调试完成。 在此共享此资源。程序的主要功能就是图片上传...
PHP多图片上传程序源码为PHP文件上传程序。在某网站看到其程序,索要及买源码未果。通过开发人员工具及其他抓包程序进行相关文件获取。经过自己写后台代码,不断调试完成。在此共享此资源。程序的主要功能就是图片...