网络注入攻击

【问题标题】:web injection attacks网络注入攻击
【发布时间】:2011-12-13 12:45:59
【问题描述】:

我正在从我的服务器获取日志手表,

/?page=/../../../../../../../etc/passwd HTTP 响应 200 /?mod=../../../../../../../proc/self/environ%2500%2520HTTP/1.1%2522%2520200%25203427%2520%2522-%2522% 2520%2522%253C%3fphp%2520system%28\%2522id\%2522%29%3b%2520%3f%253E HTTP 响应 200 /?file=../../../../../../proc/self/environ%00 HTTP 响应 200

为了避免这些请求,我在 apache 上安装了 mod_security,但这些请求仍然是显示相同请求得到回复的日志。 我该如何拒绝这些请求?

【问题讨论】:

    标签: web code-injection


    【解决方案1】:

    我希望你的问题是正确的。

    在您的 Apache 配置中包含以下代码:

    <Directory />
    Options None
    Order deny,allow
    Deny from all
</Directory>

    它会阻止所有人访问您服务器上的文件,除非您为其他目录明确配置此规则的例外情况(例如,您仍希望其他人访问您的 Web 内容)。

    我不知道您在哪个操作系统上使用的是哪个版本的 Apace,所以我无法准确告诉您必须将它放在哪里。通常它是 Apache 最基本配置的一部分。

    如果允许此类请求,您的 Apache 安装似乎非常不安全,这里是some more tips to secure your Apache

    【讨论】:

      猜你喜欢
      • 1970-01-01
      • 2015-10-03
      • 2019-08-10
      • 1970-01-01
      • 1970-01-01
      • 2020-09-10
      • 1970-01-01
      • 1970-01-01
      • 2021-05-31
      相关资源
      最近更新 更多
      热门标签
      Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode