分支机构:南方联合深圳总公司南方联合广州分公司          网站备案 网安备案帮助中心    业务咨询:4008 313 665    24小时技术支持:4006 383 665
深圳主机托管,深圳主机租用,深圳服务器租用,深圳服务器托管,深圳idc,广州服务器托管,广州服务器租用,香港服务器托管,机柜宽带租用,南方联合
当前位置:首页->帮助中心

服务器托管分析漏洞的完整解决方案

作者:admin      来源:南方联合      发布日期:2020/1/9 0:00:00

托管服务器时,用户通常执行解析操作。但是,此过程中存在各种漏洞,导致解析失败。让我们在下面总结这些漏洞。

服务器托管分析漏洞

1、Apache1.x 2.x解析漏洞

Apache服务器解析文件时,从后向前遍历后缀名,直到遇到第一个可以被识别的后缀名,则按该种后缀方式进行文件解析。

这样造成一个危害是:如果应用限制了php等敏感后缀,我们可以通过上传x.php.jpg这种未被拦截的后缀的木马上传,访问时,Apache会因为无法识别jgp,而向前寻找,找到php,按照php文件进行正常解析。木马被执行。

2、IIS6.0解析漏洞

(1)如果目录名包含.asp .asa .cer这种字样,则该目录下所有文件都被当做asp来进行解析

(2)如果文件名中包含.asp;、.asa;、.cer;这种字样,也会被优先按照asp来进行解析

3、Nginx

(1)0.8.37以下的版本,可以上传一个不被过滤后缀名的木马,如:shell.jpg,可以通过请求shell.jpg.php来进行正常解析

(2)0.8.41 - 1.5.6间的版本,可以上传一个不被过滤后缀名的木马,如:shell.jpg,可以通过请求shell.jpg%20.php来进行解析

4、PHP CGI文件解析漏洞

(1)Nginx小于0.8.3以下的版本,且当默认php配置文件cgi.fix_pathinfo=1时,可以上传一个不被过滤后缀名的木马,如:shell.jpg,通过请求shell.phhp/shell.jpg,可以使得shell.jpg被当做php来解析

(2)IIS7.0/7.5之间的版本,如果存在多个Content-Disposition,则IIS会取第一个作为接受参数,同时,如果waf只取第二个进行检测的话,则有可能被绕过过滤。

南方联合为广大用户提供专业的国内外服务器托管,服务器租用,主机托管,云服务器租用,宽带租用等服务器资源,专业技术团队提供7x24小时技术支持,详情欢迎咨询客服了解。

开始体验免费套餐

联系客服,只要有业务需求,即可获得独立服务器测试!
注册成为会员,为您提供最佳上云实践机会
南方联合在线客服 立即登录或注册

深圳服务器托管 深圳服务器租用 深圳主机托管 深圳主机租用 CDN加速 专线接入 独享带宽 数据中心机房机柜租用idc公司旧版网站登陆南方联合站点地图友情链接:裸金属服务器

Copyright © 2005-2020 深圳市南方联合科技有限公司 版权所有 备案号:粤ICP备05107047号 经营许可证编号:A2.B1-20170254 统一社会信用代码:91440300779894166R

网络社会征信网    深圳网警    深圳工商    南方联合备案号    深圳市市场监督管理局企业主体身份公示

安备号

粤公网安备 44030602000558号 非法信息举报电话0755-88833581

深圳主机托管,深圳主机租用,深圳服务器租用,深圳服务器托管,深圳idc,广州服务器托管,广州服务器租用,香港服务器托管,机柜宽带租用,南方联合