一、概述文件解析漏洞,是指web容器(Apache、nginx、iss等)在解析文件时出现了漏洞,以其他格式执行出脚本格式的效果从而黑客可以利用该漏洞实现非法文件的解析。二、web容器web容器是一种服务程序,在服务器一个端口就有一个提供相应服务的程序,而这个程序就是处理从客户端发出的请求,如tmocat、apache、nginx等。(可以理解为编程语言提供环境)中间件:提供系统软件和应用软件之间连接的软件,以便于软件各部件之间的沟通,中间件处在操作系统和更高一级应用程序之间。容器:给处于其中的应用程序组件(ASP,JSP,PHP)提供一个环境。使处于其中的应用程序组件之间跟容器中的环境变量接口交互,不必关注其他系统问题。攻击者在利用上传漏洞时,通常会与web容器的解析漏洞配合在一起。三、IIS1、IIS6.0(1)目录解析漏洞(/test.asp/1.jpg)在IIS5.x/6.0中,在网站下建立文件夹的名字为.asp、.asa、.cer、.cdx的文件夹,你们其目录内的任何扩展名的文件都会被IIS当做asp文件来解释并执行。例如常见目录test.asp,那么/test.asp/1.
易水哲
一个什么都会一点的白帽子
京公网安备11010802044340号