web注入攻击_Web_Code Injection - Fatal编程技术网

web注入攻击

web

web注入攻击,web,code-injection,Web,Code Injection,我从服务器上得到一个日志表 /？页面=/../../../../../../../etc/passwd HTTP响应200 /？mod=../../../../../../../../proc/self/environment%2500%2520HTTP/1.1%2522%2520200%25203427%2520%2522-%2522%2522%253C%3fphp%2520system%28\%2522id\%2522%29%3b%2520%3f%253E HTTP响应200/？文件=../

我从服务器上得到一个日志表

/？页面=/../../../../../../../etc/passwd HTTP响应200 /？mod=../../../../../../../../proc/self/environment%2500%2520HTTP/1.1%2522%2520200%25203427%2520%2522-%2522%2522%253C%3fphp%2520system%28\%2522id\%2522%29%3b%2520%3f%253E HTTP响应200/？文件=../../../../../proc/self/environment%00 HTTP 答复200

为了避免这些请求，我在apache上安装了mod_security，但这些请求仍然是日志，显示相同的请求得到了响应。

我怎么能拒绝这些请求呢？

我希望我没有弄错你的问题

在Apache配置中包括以下代码：

<Directory />
    Options None
    Order deny,allow
    Deny from all
</Directory>


选项无
命令拒绝，允许
全盘否定

它阻止所有人访问服务器上的文件，除非您明确为此规则为其他目录配置例外（例如，您仍然希望其他人访问您的web内容）

我不知道你在哪个操作系统上使用的是哪个版本的Apace，所以我不能确切地告诉你应该把它放在哪里。通常，它是Apache最基本配置的一部分

如果您的Apache安装允许此类请求，那么它似乎非常不安全。下面是。

我希望我正确地回答了您的问题

在Apache配置中包括以下代码：

<Directory />
    Options None
    Order deny,allow
    Deny from all
</Directory>


选项无
命令拒绝，允许
全盘否定

它阻止所有人访问服务器上的文件，除非您明确为此规则为其他目录配置例外（例如，您仍然希望其他人访问您的web内容）

我不知道你在哪个操作系统上使用的是哪个版本的Apace，所以我不能确切地告诉你应该把它放在哪里。通常，它是Apache最基本配置的一部分

由于您的Apache安装似乎非常不安全，如果它允许这些类型的请求，这里是