作者:围脖上的博博_771 | 来源:互联网 | 2023-05-18 03:33
应该是我孤陋了,刚看到了一个apache的漏洞,上传一个***.php.***的文件,可以被当作.php来执行,可以试一下,写入:<?phpechohello;?
应该是我孤陋了,刚看到了一个apache的漏洞,上传一个***.php.***的文件,可以被当作.php来执行,可以试一下,写入:,存成123.php.rar,然后在地址栏输入文件名,显示出来的真的是“hello”,我晕!木马文件轻而易举的就伪装了,太可怕了!
对上传的文件做检查吧,还有个比较偷懒的方法,就是在.htaccess里临时禁止一下吧,在.htaccess里写入:
order deny,allow
deny from all
我又加了一句:RewriteRule ^(\w+).php.(\w+)$ index.php,双保险应该没事了吧!