为什么index.php/login.php被接受为有效的url?
我在一个我正在帮助客户的网站上做了一些pentesting,工具报告说有像/index.php/login.php这样的URL可能会受到攻击。问题是,由于它是一个简单的php站点,通常这种URL是不可能的(没有包含文件“login.php”的文件夹“index.php”)。我想我可以为URL设置一些过滤器来清理它,并重定向到第一个php文件。 这些URL的实际效果是浏览器进入无限循环,一遍又一遍地请求所有文件。。。 该网站正在使用框架集(不幸的是),我觉得它与此有关,但找不到修复方法为什么index.php/login.php被接受为有效的url?,php,html,web,iis-7,Php,Html,Web,Iis 7,我在一个我正在帮助客户的网站上做了一些pentesting,工具报告说有像/index.php/login.php这样的URL可能会受到攻击。问题是,由于它是一个简单的php站点,通常这种URL是不可能的(没有包含文件“login.php”的文件夹“index.php”)。我想我可以为URL设置一些过滤器来清理它,并重定向到第一个php文件。 这些URL的实际效果是浏览器进入无限循环,一遍又一遍地请求所有文件。。。 该网站正在使用框架集(不幸的是),我觉得它与此有关,但找不到修复方法 将IIS7
将IIS7与php 5.3.63一起使用是否有任何URL重写,例如使用.htaccess文件,在站点中处于活动状态?如果重写为no,则此URL可能有效。起初我怀疑这是IIS的默认行为,但现在我正在研究FrameSetSPP5.3早就过时了
index.php/login.php
可以是有效的(其中login.php
可以被视为路径信息,),所以您自己可以正确处理它。@LexLi谢谢。就这样!不幸的是,我无法更新php版本。我已经用IIS的URL重写模块修复了它。