Apache漏洞

最新推荐文章于 2025-08-08 14:07:33 发布
原创 最新推荐文章于 2025-08-08 14:07:33 发布 · 340 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#apache #常见中间件漏洞

四、 CVE-2021-41773

Apache HTTP Server 路径穿越漏洞

漏洞简介

该漏洞是由于Apache HTTP Server 2.4.49版本存在目录穿越漏洞,在路径穿越目录<Directory/>Require all granted</Directory>允许被访问的的情况下(默认开启)攻击者可利用该路径穿越漏洞读取到Web目录之外的其他文件

在服务端开启了gi或cgid这两个mod的情况下,这个路径穿越漏洞将可以执行任意cgi命令(RCE)

1.使用poc

curl http://ip:8888/cgi-bin/.%2e/.%2e/.%2e/.%2e/etc/passwd

apache jserv漏洞Apache漏洞
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
10-26 1483
网站扫描出现安全漏洞的处理方法,apache jserv漏洞贴三个出来分享下:1、Apache JServ协议服务描述: Apache JServ协议(AJP)是一种二进制协议,可以将来自Web服务器的入站请求代理到 位于Web服务器后面的应用程序服务器。不建议在互联网上公开使用AJP服务。 如果AJP配置错误,可能会允许攻击者访问内部资源。 我的修复建议:{tocamat目录}/conf/server.xml中将下面的配置给注释掉: 2、没有CSRF保护的HTML表单 描述:此警报需要手动确认 跨站点请
Apache-RCE、目录遍历漏洞、文件解析
weixin_68408599的博客
12-21 1814
Apache HTTP Server 2.4.49、2.4.50 版本对路径规范化所做的更改中存在一个路径穿越漏洞,攻击者可利用该漏洞读取到 Web 目录外的其他文件,如系统配置文件、网站源码等,甚至在特定情况下,攻击者可构造恶意请求执行命令,控制服务器。Apache HTTPD 是一款 HTTP 服务器。其 2.4.0~2.4.29 版本存在一个解析漏洞,在解析 PHP 时,1.php\x0A 将被按照 PHP 后缀进行解析,导致绕过一些服务器的安全策略。
【vulhub系列】CVE-2021-42013 Apache HTTPd 2.4.49 2.4.50 路径穿越以及RCE漏洞
Wiofgb的博客
10-04 1812
【vulhub系列】CVE-2021-42013 Apache HTTPd 2.4.49 2.4.50 路径穿越以及RCE漏洞
CVE-2021-41773 && CVE-2021-42013 Apache HTTPd最新RCE漏洞复现 && 目录穿越漏洞
weixin_45694388的博客
10-16 3616
漏洞描述: Apache HTTPd是Apache基金会开源的一款流行的HTTP服务器。2021年10月8日Apache HTTPd官方发布安全更新,披露了CVE-2021-42013 Apache HTTPd 2.4.49/2.4.50 路径穿越漏洞。由于对CVE-2021-41773 Apache HTTPd 2.4.49 路径穿越漏洞的修复不完善,攻击者可构造恶意请求绕过补丁,利用穿越漏洞读取到Web目录之外的其他文件。同时若Apache HTTPd开启了cgi支持,攻击者可构造恶意请求执行命令,控制
Apache 漏洞
weixin_53736204的博客
08-06 672
漏洞是由于Apache HTTP Server 2.4.49版本存在⽬录穿越漏洞,在路径穿越⽬录 Require all granted允许被访问的的情况下(默认开启),攻击者可利⽤该路 径穿越漏洞读取到Web⽬录之外的其他⽂件。在服务端开启了gi或cgid这两个mod的情况下,这个路径穿越漏洞将可以执⾏任意cgi命令(RCE
apache 漏洞
weixin_69065643的博客
08-06 526
某些Apache HTTPd 2.4.50也存在此漏洞
Apache漏洞复现
人若有志,就不会在半坡停止。
10-13 1766
的路径穿越符,当检测到路径中存在%字符时,如果紧跟的2个字符是十六进制字符,就会进行url解码,将其转换成标准字符,如%2e->.,转换完成后会判断是否存在…如果路径中存在%2e./形式,就会检测到,但是出现.%2e/这种形式时,就不会检测到,原因是在遍历到第一个.字符时,此时检测到后面的两个字符是%2而不是./,就不会把它当作路径穿越符处理,因此可以使用.%2e/或者%2e%2e绕过对路径穿越符的检测实现目录遍历。复制路径进行访问,成功查看到phpinfo的信息,说明上传的文件被执行。
Apache漏洞大全(附修复方法)
C233333235的博客
08-08 1979
一.文件解析Apache 是世界使⽤排名第⼀的 Web 服务器软件。它可以运⾏在⼏乎所有⼴泛使⽤的计算机平台上,由于其跨平台和安全性被⼴泛使⽤,是最流⾏的 Web 服务器端软件之⼀。一.文件解析漏洞复现环境搭建命令如下打开并访问靶机后,我们上传一个名为1.php.jpg的文件,内容为可以直接上传成功,我们尝试访问后也成功访问然后尝试用蚁剑连接,发现连接成功。
漏洞复现-Apache漏洞合集
aming小老弟
10-03 3026
渗透
[中间件漏洞]apache漏洞复现
紫洋的博客
05-25 1530
其2.4.0~2.4.29版本中存在 一个解析漏洞,在解析PHP时,1.php\x0a将被按照PHP后缀进行解析,导致绕过一些服务器的安全策略。Apache默认一个文件可以有多个以点分割的后缀,当最右边的后缀无法识别,则继续向左识别,直到识别到合法后缀才进行解析。最后一个后缀名为.jpg,合法,因为文件名info.php.jpg中包含.php,所以解析为php文件。在有多个后缀的情况下,只要包含.php后缀的文件就会被识别出php文件进行解析,不需要是最后一个后缀。先创建文件,文件内容为phpinfo。
apache漏洞汇总apache漏洞汇总
03-29
Apache-flink 未授权访问任意jar包上传反弹shell CVE-2019-0193 Apache-Solr via ...CVE-2019-17564 Apache-Dubbo反序列化漏洞 CVE-2020-13925 Apache Kylin 远程命令执行漏洞 CVE-2020-13957 Apache Solr 未授权上传
信息安全技术基础:利用Apache漏洞上传.pptx
11-01
【信息安全技术基础:利用Apache漏洞上传.pptx】 在信息安全领域,了解并防范系统漏洞是至关重要的。Apache作为广泛使用的Web服务器,其安全问题可能直接影响到网站和服务器的安全。本主题将聚焦于一种常见的安全...
ApacheCon Asia 2025 中国开源年度报告:Apache Doris 国内第一
SelectDB
08-05 823
ApacheCon Asia 2025 的成功举办,《中国开源年度报告》的权威发布,Apache Doris 的强势登顶,这些标志性事件汇聚在一起,构成了中国开源发展史上的一个重要节点。Apache Doris 的跃升,不是一个孤立的技术现象,而是中国开源力量崛起的缩影:从开源的技术积累,到飞轮科技的运营创新;从 Apache 基金会的国际平台,到中国市场的实际需求;从开源社区的协作文化,到商业化的价值实现。这正是属于我们这代人的开源使命,也是 "Apache Doris 第一" 给我们的最大启示。
Apache OFBiz Scrum 组件命令注入漏洞
murphysec的博客
08-05 562
Apache OFBiz Scrum组件存在命令注入漏洞(CVE-2025-54466),OFBiz版本<24.09.02受影响。ScrumServices.java中repository和revision参数未经严格校验直接拼接至命令字符串并执行,拥有Scrum模块权限的攻击者可利用此漏洞实现任意命令执行。修复版本24.09.02通过参数格式校验(URL/整数验证)及命令执行参数分离机制(exec(String[]))防御。建议受影响用户升级至安全版本或应用官方补丁。
Apache 安装与部署完整手册(含静态网站、JavaScript网站、ECharts案例,支持在线与离线部署)
The God Of BigData 的博客
08-05 892
本文提供Ubuntu系统下Apache的完整安装与部署指南,包含在线和离线两种安装方式。在线安装通过apt命令快速完成,离线部署则详细说明了如何打包和安装离线包。文档还涵盖静态网页、JavaScript网站和ECharts可视化案例的发布方法,包括目录结构、权限设置和示例代码。最后提供了一个自动化部署脚本,方便在离线环境下快速完成Apache安装和基础配置。适合不同网络环境下的Apache部署需求,从基础到进阶的使用场景均有覆盖。
Apache JMeter 入门指南:从零到一的实战体验
chicken_bob的博客
08-07 708
本文介绍了Apache JMeter这一开源性能测试工具的基本使用方法。主要内容包括:JMeter的下载安装步骤、创建虚拟用户组并配置线程参数、添加HTTP请求并设置目标服务器信息、保存运行测试脚本以及添加监听器查看详细结果。文章还对比了JMeter与新兴自动化测试工具的差异,指出JMeter虽然灵活但配置复杂,而一些新工具更易用适合团队协作。最后探讨了性能测试领域将呈现"自由定制"与"简化操作"并存的趋势,建议根据实际需求选择合适的测试工具。
apache cgi测试
最新发布
u011960823的博客
08-08 48
【代码】apache cgi测试。
AI 对话高效输入指令攻略(四):AI+Apache ECharts:生成各种专业图表
Loving_enjoy的博客
08-07 473
而**AI大模型**的出现正在彻底改变这一格局——现在,通过精准的指令,AI可以在几秒内生成专业级的交互式图表代码,让数据工作者专注于洞察而非实现细节。其**开箱即用**的特性配合详尽的文档,使其成为AI生成的首选目标。- **多维分析**:通过**数据钻取**和**联动过滤**,单个图表可揭示数据多个维度的关系。| **特性** | **传统工具(Excel)** | **编程库(D3.js)** | **ECharts** |数据可视化领域正经历**范式转移**,AI不再仅是工具而是**设计伙伴**。
Java 工具类的“活化石”:Apache Commons 核心用法、性能陷阱与现代替代方案
郑龙飞
08-06 928
Apache Commons 是一座蕴含着 Java 发展历史和无数前辈智慧的宝库。它并非过时的技术,而是一个成熟、稳健的基石。作为一名现代开发者,我们的任务不是盲目地抛弃它,而是要以批判性的眼光去审视:理解它的哪些部分(如FileUtils)因其设计的卓越而历久弥新;理解它的哪些部分(如BeanUtils)因时代的变迁而有了更优的替代方案。掌握了这种辨别能力,你才能真正地站在巨人的肩膀上,构建出更优秀的软件。
apache漏洞
03-11
### 关于Apache安全漏洞详情及修复方法 #### Apache HTTPD 换行解析漏洞(CVE-2017-15715) 此漏洞存在于HTTP协议处理过程中,当客户端发送带有特殊字符的数据包给服务器时,可能会导致请求行被错误解释。具体来说...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值