体验路径遍历漏洞的影响,这是最近 Apache 困境的罪魁祸首
10 月初,Apache 发布了 2.4.49 版本来修复一个 路径遍历和远程代码执行漏洞 然后是 2.4.50 来解决 2.4.49 中的修复不完整的事实。鉴于此,也许你已经在社交媒体上看到过关于更新到最新版本以避免这些风险的重要性的讨论 据估计,Apache为25%的互联网提供动力。但是怎么回事?这里存在多大的风险?
为什么不自己尝试一下呢?
我们制定了一项使命,以证明现实生活中的风险,并已将其公开供所有人尝试。在本任务中,我们将引导您了解路径遍历漏洞如何影响您的基础架构和应用程序。点击下方直接进入,或继续阅读以详细了解该漏洞。
关于路径遍历漏洞
该漏洞是在 2.4.49 版本中引入的 (由于 URL 标准化函数发生了变化),其中引入了新的路径标准化函数。不幸的是,它未能正确标准化 URL 编码路径。这使得进行一次活动成为可能 路径遍历攻击 如果不存在以下配置:
.avif)
而且,如果 mod_cgi 已启用,也可以利用它来造成远程代码执行漏洞。但是,让我们先深入研究 URL 编码,以更好地了解出了什么问题。
网址编码
最基本的是,该漏洞是由于不考虑带有 URL 编码的 URL 而发生的。新引入的路径标准化函数无法完全处理点采用 URL 编码的情况。
请记住,要进行路径遍历攻击,你需要使用序列遍历 ../。但是,标准化函数足够聪明,可以将其删除。那你是做什么的?你可以 URL 编码 。(点)向下移至 %2e,然后使用像这样的序列 .% 2e/。这在许多情况下适用于Apache 2.4.40。但是你也可以更进一步,对其进行双重编码。的 URL 编码版本 .% 2e/ 是 .% 252e/。这进一步能够绕过Apache尝试的标准化操作。
但是有一个问题
如果有人想尝试直接在浏览器中利用此漏洞,他们就不会成功。这是因为浏览器还尝试对发送到服务器的网址进行标准化。这意味着即使是我们的双重编码序列也将被删除。这也意味着我们不能简单地使用浏览器来演示这一点。
你可以使用 cURL 来演示这一点,方法是 --路径原样 标志,它可以防止它在发送之前对 URL 进行标准化:
.avif)
预防和缓解
为了完全防止出现此问题,请务必及时了解Apache的最新补丁。具体而言,你需要至少升级到 2.4.51。但是,定期升级以保持最新状态是一种很好的做法。
如果您运行的是 2.4.49,要缓解此问题,请确保在 Apache 配置中包含以下内容:
.avif)
为了防止远程代码执行,请禁用 mod_cgi 如果你不使用它。
亲自体验冲击力
有兴趣探索到底发生了什么并亲自尝试一下吗?
10月初,Apache发布了2.4.49版本来修复路径遍历和远程代码执行漏洞,然后发布了2.4.50版本以解决修复未完成的事实。我们制定了一项使命,以证明现实生活中的风险。现在就试试吧。
Secure Code Warrior peut aider votre organisation à sécuriser le code tout au long du cycle de vie du développement logiciel et à instaurer une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, directeur de la sécurité de l'information ou tout autre professionnel concerné par la sécurité, nous pouvons aider votre organisation à réduire les risques liés au code non sécurisé.
Veuillez réserver une démonstration.
10 月初,Apache 发布了 2.4.49 版本来修复一个 路径遍历和远程代码执行漏洞 然后是 2.4.50 来解决 2.4.49 中的修复不完整的事实。鉴于此,也许你已经在社交媒体上看到过关于更新到最新版本以避免这些风险的重要性的讨论 据估计,Apache为25%的互联网提供动力。但是怎么回事?这里存在多大的风险?
为什么不自己尝试一下呢?
我们制定了一项使命,以证明现实生活中的风险,并已将其公开供所有人尝试。在本任务中,我们将引导您了解路径遍历漏洞如何影响您的基础架构和应用程序。点击下方直接进入,或继续阅读以详细了解该漏洞。
关于路径遍历漏洞
该漏洞是在 2.4.49 版本中引入的 (由于 URL 标准化函数发生了变化),其中引入了新的路径标准化函数。不幸的是,它未能正确标准化 URL 编码路径。这使得进行一次活动成为可能 路径遍历攻击 如果不存在以下配置:
而且,如果 mod_cgi 已启用,也可以利用它来造成远程代码执行漏洞。但是,让我们先深入研究 URL 编码,以更好地了解出了什么问题。
网址编码
最基本的是,该漏洞是由于不考虑带有 URL 编码的 URL 而发生的。新引入的路径标准化函数无法完全处理点采用 URL 编码的情况。
请记住,要进行路径遍历攻击,你需要使用序列遍历 ../。但是,标准化函数足够聪明,可以将其删除。那你是做什么的?你可以 URL 编码 。(点)向下移至 %2e,然后使用像这样的序列 .% 2e/。这在许多情况下适用于Apache 2.4.40。但是你也可以更进一步,对其进行双重编码。的 URL 编码版本 .% 2e/ 是 .% 252e/。这进一步能够绕过Apache尝试的标准化操作。
但是有一个问题
如果有人想尝试直接在浏览器中利用此漏洞,他们就不会成功。这是因为浏览器还尝试对发送到服务器的网址进行标准化。这意味着即使是我们的双重编码序列也将被删除。这也意味着我们不能简单地使用浏览器来演示这一点。
你可以使用 cURL 来演示这一点,方法是 --路径原样 标志,它可以防止它在发送之前对 URL 进行标准化:
预防和缓解
为了完全防止出现此问题,请务必及时了解Apache的最新补丁。具体而言,你需要至少升级到 2.4.51。但是,定期升级以保持最新状态是一种很好的做法。
如果您运行的是 2.4.49,要缓解此问题,请确保在 Apache 配置中包含以下内容:
为了防止远程代码执行,请禁用 mod_cgi 如果你不使用它。
亲自体验冲击力
有兴趣探索到底发生了什么并亲自尝试一下吗?
10 月初,Apache 发布了 2.4.49 版本来修复一个 路径遍历和远程代码执行漏洞 然后是 2.4.50 来解决 2.4.49 中的修复不完整的事实。鉴于此,也许你已经在社交媒体上看到过关于更新到最新版本以避免这些风险的重要性的讨论 据估计,Apache为25%的互联网提供动力。但是怎么回事?这里存在多大的风险?
为什么不自己尝试一下呢?
我们制定了一项使命,以证明现实生活中的风险,并已将其公开供所有人尝试。在本任务中,我们将引导您了解路径遍历漏洞如何影响您的基础架构和应用程序。点击下方直接进入,或继续阅读以详细了解该漏洞。
关于路径遍历漏洞
该漏洞是在 2.4.49 版本中引入的 (由于 URL 标准化函数发生了变化),其中引入了新的路径标准化函数。不幸的是,它未能正确标准化 URL 编码路径。这使得进行一次活动成为可能 路径遍历攻击 如果不存在以下配置:
而且,如果 mod_cgi 已启用,也可以利用它来造成远程代码执行漏洞。但是,让我们先深入研究 URL 编码,以更好地了解出了什么问题。
网址编码
最基本的是,该漏洞是由于不考虑带有 URL 编码的 URL 而发生的。新引入的路径标准化函数无法完全处理点采用 URL 编码的情况。
请记住,要进行路径遍历攻击,你需要使用序列遍历 ../。但是,标准化函数足够聪明,可以将其删除。那你是做什么的?你可以 URL 编码 。(点)向下移至 %2e,然后使用像这样的序列 .% 2e/。这在许多情况下适用于Apache 2.4.40。但是你也可以更进一步,对其进行双重编码。的 URL 编码版本 .% 2e/ 是 .% 252e/。这进一步能够绕过Apache尝试的标准化操作。
但是有一个问题
如果有人想尝试直接在浏览器中利用此漏洞,他们就不会成功。这是因为浏览器还尝试对发送到服务器的网址进行标准化。这意味着即使是我们的双重编码序列也将被删除。这也意味着我们不能简单地使用浏览器来演示这一点。
你可以使用 cURL 来演示这一点,方法是 --路径原样 标志,它可以防止它在发送之前对 URL 进行标准化:
预防和缓解
为了完全防止出现此问题,请务必及时了解Apache的最新补丁。具体而言,你需要至少升级到 2.4.51。但是,定期升级以保持最新状态是一种很好的做法。
如果您运行的是 2.4.49,要缓解此问题,请确保在 Apache 配置中包含以下内容:
为了防止远程代码执行,请禁用 mod_cgi 如果你不使用它。
亲自体验冲击力
有兴趣探索到底发生了什么并亲自尝试一下吗?
Veuillez cliquer sur le lien ci-dessous pour télécharger le PDF de cette ressource.
Secure Code Warrior peut aider votre organisation à sécuriser le code tout au long du cycle de vie du développement logiciel et à instaurer une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, directeur de la sécurité de l'information ou tout autre professionnel concerné par la sécurité, nous pouvons aider votre organisation à réduire les risques liés au code non sécurisé.
Veuillez consulter le rapport.Veuillez réserver une démonstration.
10 月初,Apache 发布了 2.4.49 版本来修复一个 路径遍历和远程代码执行漏洞 然后是 2.4.50 来解决 2.4.49 中的修复不完整的事实。鉴于此,也许你已经在社交媒体上看到过关于更新到最新版本以避免这些风险的重要性的讨论 据估计,Apache为25%的互联网提供动力。但是怎么回事?这里存在多大的风险?
为什么不自己尝试一下呢?
我们制定了一项使命,以证明现实生活中的风险,并已将其公开供所有人尝试。在本任务中,我们将引导您了解路径遍历漏洞如何影响您的基础架构和应用程序。点击下方直接进入,或继续阅读以详细了解该漏洞。
关于路径遍历漏洞
该漏洞是在 2.4.49 版本中引入的 (由于 URL 标准化函数发生了变化),其中引入了新的路径标准化函数。不幸的是,它未能正确标准化 URL 编码路径。这使得进行一次活动成为可能 路径遍历攻击 如果不存在以下配置:
而且,如果 mod_cgi 已启用,也可以利用它来造成远程代码执行漏洞。但是,让我们先深入研究 URL 编码,以更好地了解出了什么问题。
网址编码
最基本的是,该漏洞是由于不考虑带有 URL 编码的 URL 而发生的。新引入的路径标准化函数无法完全处理点采用 URL 编码的情况。
请记住,要进行路径遍历攻击,你需要使用序列遍历 ../。但是,标准化函数足够聪明,可以将其删除。那你是做什么的?你可以 URL 编码 。(点)向下移至 %2e,然后使用像这样的序列 .% 2e/。这在许多情况下适用于Apache 2.4.40。但是你也可以更进一步,对其进行双重编码。的 URL 编码版本 .% 2e/ 是 .% 252e/。这进一步能够绕过Apache尝试的标准化操作。
但是有一个问题
如果有人想尝试直接在浏览器中利用此漏洞,他们就不会成功。这是因为浏览器还尝试对发送到服务器的网址进行标准化。这意味着即使是我们的双重编码序列也将被删除。这也意味着我们不能简单地使用浏览器来演示这一点。
你可以使用 cURL 来演示这一点,方法是 --路径原样 标志,它可以防止它在发送之前对 URL 进行标准化:
预防和缓解
为了完全防止出现此问题,请务必及时了解Apache的最新补丁。具体而言,你需要至少升级到 2.4.51。但是,定期升级以保持最新状态是一种很好的做法。
如果您运行的是 2.4.49,要缓解此问题,请确保在 Apache 配置中包含以下内容:
为了防止远程代码执行,请禁用 mod_cgi 如果你不使用它。
亲自体验冲击力
有兴趣探索到底发生了什么并亲自尝试一下吗?
Table des matières
Secure Code Warrior peut aider votre organisation à sécuriser le code tout au long du cycle de vie du développement logiciel et à instaurer une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, directeur de la sécurité de l'information ou tout autre professionnel concerné par la sécurité, nous pouvons aider votre organisation à réduire les risques liés au code non sécurisé.
Veuillez réserver une démonstration.TéléchargerRessources pour vous aider à démarrer
Formation sur les codes de sécurité : thèmes et contenu
Notre contenu de pointe évolue constamment pour s'adapter au paysage changeant du développement logiciel, tout en tenant compte de votre rôle. Les sujets abordés couvrent tout, de l'IA à l'injection XQuery, et s'adressent à divers postes, des architectes et ingénieurs aux chefs de produit et responsables de l'assurance qualité. Découvrez un aperçu par thème et par rôle de ce que notre catalogue de contenu a à offrir.
La Chambre de commerce établit la norme en matière de sécurité à grande échelle axée sur les développeurs
La Chambre de commerce néerlandaise explique comment elle a intégré le codage sécurisé dans le développement quotidien grâce à des certifications basées sur les rôles, à l'évaluation comparative du Trust Score et à une culture de responsabilité partagée en matière de sécurité.
%20(1).avif)
.avif)
Modélisation des menaces avec l'IA : transformer chaque développeur en modélisateur de menaces
Vous repartirez mieux équipé pour aider les développeurs à combiner les idées et les techniques de modélisation des menaces avec les outils d'IA qu'ils utilisent déjà pour renforcer la sécurité, améliorer la collaboration et créer des logiciels plus résilients dès le départ.
Ressources pour vous aider à démarrer
Cybermon est de retour : la mission AI pour vaincre le boss est désormais disponible sur demande.
Cybermon 2025 : la campagne « Vaincre le boss » est désormais disponible toute l'année dans SCW. La guerre de sécurité avancée de l'IA/LLM tribale, le renforcement de l'IA de sécurité à grande échelle.
Interprétation de la loi sur la résilience des réseaux : que signifie la sécurité par le biais de la conception et du développement de logiciels ?
Comprenez les exigences de la loi européenne sur la résilience des réseaux (CRA), à qui elle s'applique et comment les équipes d'ingénierie peuvent s'y préparer grâce à des pratiques de conception, à la prévention des vulnérabilités et au renforcement des capacités des développeurs.
Facteur déterminant 1 : des critères de réussite clairs et mesurables
Le catalyseur n° 1 constitue le premier volet de notre série en dix parties consacrée aux facteurs de réussite. Il démontre comment relier la sécurité du code aux résultats opérationnels, tels que la réduction des risques et l'accélération de la maturité des programmes à long terme.
