[ 永远的UNIX::UNIX技术资料的宝库 ]
首页 > 应用技术 > Apache > 正文
Apache mod_rewrite 模块的漏洞
本文出自:http://www.freelamp.com 作者: 徐永久(albertxu@bigfoot.com) (2001-08-26 07:05:00)

新的 Apache 已经堵住了这个漏洞。 :-) 不要担心
这个漏洞仅当你使用 mod_rewrite 模块并且使用了特别的RewriteRule 配置时才出现,但是即使比较新的 1.3.12 版本
也不能幸免。如果RewriteRule 的结果是一个包含正则表达式引用的文件名的话,攻击者有可能存取Web 服务器上的任何
文件。

下面是几个RewriteRule 的例子,第一个是有漏洞的,但是其他的不是。 

RewriteRule /test/(.*) /usr/local/data/test-stuff/$1
RewriteRule /more-icons/(.*) /icons/$1
RewriteRule /go/(.*) http://www.apacheweek.com/$1

补丁正在测试中,将会是 Apache 1.3.13 版本的一部分。在未接收到补丁之前,用户可以检查自己的配置文件,确定没
有使用上述例子中第一行那样的情况。

(http://www.fanqiang.com)     进入【UNIX论坛
相关文章

===更多相关===
 

★  樊强制作 欢迎分享  ★