体验路径遍历漏洞的影响,这是最近 Apache 困境的罪魁祸首
10 月初,Apache 发布了 2.4.49 版本来修复一个 路径遍历和远程代码执行漏洞 然后是 2.4.50 来解决 2.4.49 中的修复不完整的事实。鉴于此,也许你已经在社交媒体上看到过关于更新到最新版本以避免这些风险的重要性的讨论 据估计,Apache为25%的互联网提供动力。但是怎么回事?这里存在多大的风险?
为什么不自己尝试一下呢?
我们制定了一项使命,以证明现实生活中的风险,并已将其公开供所有人尝试。在本任务中,我们将引导您了解路径遍历漏洞如何影响您的基础架构和应用程序。点击下方直接进入,或继续阅读以详细了解该漏洞。
关于路径遍历漏洞
该漏洞是在 2.4.49 版本中引入的 (由于 URL 标准化函数发生了变化),其中引入了新的路径标准化函数。不幸的是,它未能正确标准化 URL 编码路径。这使得进行一次活动成为可能 路径遍历攻击 如果不存在以下配置:
.avif)
而且,如果 mod_cgi 已启用,也可以利用它来造成远程代码执行漏洞。但是,让我们先深入研究 URL 编码,以更好地了解出了什么问题。
网址编码
最基本的是,该漏洞是由于不考虑带有 URL 编码的 URL 而发生的。新引入的路径标准化函数无法完全处理点采用 URL 编码的情况。
请记住,要进行路径遍历攻击,你需要使用序列遍历 ../。但是,标准化函数足够聪明,可以将其删除。那你是做什么的?你可以 URL 编码 。(点)向下移至 %2e,然后使用像这样的序列 .% 2e/。这在许多情况下适用于Apache 2.4.40。但是你也可以更进一步,对其进行双重编码。的 URL 编码版本 .% 2e/ 是 .% 252e/。这进一步能够绕过Apache尝试的标准化操作。
但是有一个问题
如果有人想尝试直接在浏览器中利用此漏洞,他们就不会成功。这是因为浏览器还尝试对发送到服务器的网址进行标准化。这意味着即使是我们的双重编码序列也将被删除。这也意味着我们不能简单地使用浏览器来演示这一点。
你可以使用 cURL 来演示这一点,方法是 --路径原样 标志,它可以防止它在发送之前对 URL 进行标准化:
.avif)
预防和缓解
为了完全防止出现此问题,请务必及时了解Apache的最新补丁。具体而言,你需要至少升级到 2.4.51。但是,定期升级以保持最新状态是一种很好的做法。
如果您运行的是 2.4.49,要缓解此问题,请确保在 Apache 配置中包含以下内容:
.avif)
为了防止远程代码执行,请禁用 mod_cgi 如果你不使用它。
亲自体验冲击力
有兴趣探索到底发生了什么并亲自尝试一下吗?
10月初,Apache发布了2.4.49版本来修复路径遍历和远程代码执行漏洞,然后发布了2.4.50版本以解决修复未完成的事实。我们制定了一项使命,以证明现实生活中的风险。现在就试试吧。
Secure Code Warrior kann Ihrem Unternehmen dabei helfen, Code während des gesamten Softwareentwicklungszyklus zu schützen und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, Chief Information Security Officer oder in einem anderen sicherheitsrelevanten Bereich tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu minimieren.
Demo buchen
10 月初,Apache 发布了 2.4.49 版本来修复一个 路径遍历和远程代码执行漏洞 然后是 2.4.50 来解决 2.4.49 中的修复不完整的事实。鉴于此,也许你已经在社交媒体上看到过关于更新到最新版本以避免这些风险的重要性的讨论 据估计,Apache为25%的互联网提供动力。但是怎么回事?这里存在多大的风险?
为什么不自己尝试一下呢?
我们制定了一项使命,以证明现实生活中的风险,并已将其公开供所有人尝试。在本任务中,我们将引导您了解路径遍历漏洞如何影响您的基础架构和应用程序。点击下方直接进入,或继续阅读以详细了解该漏洞。
关于路径遍历漏洞
该漏洞是在 2.4.49 版本中引入的 (由于 URL 标准化函数发生了变化),其中引入了新的路径标准化函数。不幸的是,它未能正确标准化 URL 编码路径。这使得进行一次活动成为可能 路径遍历攻击 如果不存在以下配置:
而且,如果 mod_cgi 已启用,也可以利用它来造成远程代码执行漏洞。但是,让我们先深入研究 URL 编码,以更好地了解出了什么问题。
网址编码
最基本的是,该漏洞是由于不考虑带有 URL 编码的 URL 而发生的。新引入的路径标准化函数无法完全处理点采用 URL 编码的情况。
请记住,要进行路径遍历攻击,你需要使用序列遍历 ../。但是,标准化函数足够聪明,可以将其删除。那你是做什么的?你可以 URL 编码 。(点)向下移至 %2e,然后使用像这样的序列 .% 2e/。这在许多情况下适用于Apache 2.4.40。但是你也可以更进一步,对其进行双重编码。的 URL 编码版本 .% 2e/ 是 .% 252e/。这进一步能够绕过Apache尝试的标准化操作。
但是有一个问题
如果有人想尝试直接在浏览器中利用此漏洞,他们就不会成功。这是因为浏览器还尝试对发送到服务器的网址进行标准化。这意味着即使是我们的双重编码序列也将被删除。这也意味着我们不能简单地使用浏览器来演示这一点。
你可以使用 cURL 来演示这一点,方法是 --路径原样 标志,它可以防止它在发送之前对 URL 进行标准化:
预防和缓解
为了完全防止出现此问题,请务必及时了解Apache的最新补丁。具体而言,你需要至少升级到 2.4.51。但是,定期升级以保持最新状态是一种很好的做法。
如果您运行的是 2.4.49,要缓解此问题,请确保在 Apache 配置中包含以下内容:
为了防止远程代码执行,请禁用 mod_cgi 如果你不使用它。
亲自体验冲击力
有兴趣探索到底发生了什么并亲自尝试一下吗?
10 月初,Apache 发布了 2.4.49 版本来修复一个 路径遍历和远程代码执行漏洞 然后是 2.4.50 来解决 2.4.49 中的修复不完整的事实。鉴于此,也许你已经在社交媒体上看到过关于更新到最新版本以避免这些风险的重要性的讨论 据估计,Apache为25%的互联网提供动力。但是怎么回事?这里存在多大的风险?
为什么不自己尝试一下呢?
我们制定了一项使命,以证明现实生活中的风险,并已将其公开供所有人尝试。在本任务中,我们将引导您了解路径遍历漏洞如何影响您的基础架构和应用程序。点击下方直接进入,或继续阅读以详细了解该漏洞。
关于路径遍历漏洞
该漏洞是在 2.4.49 版本中引入的 (由于 URL 标准化函数发生了变化),其中引入了新的路径标准化函数。不幸的是,它未能正确标准化 URL 编码路径。这使得进行一次活动成为可能 路径遍历攻击 如果不存在以下配置:
而且,如果 mod_cgi 已启用,也可以利用它来造成远程代码执行漏洞。但是,让我们先深入研究 URL 编码,以更好地了解出了什么问题。
网址编码
最基本的是,该漏洞是由于不考虑带有 URL 编码的 URL 而发生的。新引入的路径标准化函数无法完全处理点采用 URL 编码的情况。
请记住,要进行路径遍历攻击,你需要使用序列遍历 ../。但是,标准化函数足够聪明,可以将其删除。那你是做什么的?你可以 URL 编码 。(点)向下移至 %2e,然后使用像这样的序列 .% 2e/。这在许多情况下适用于Apache 2.4.40。但是你也可以更进一步,对其进行双重编码。的 URL 编码版本 .% 2e/ 是 .% 252e/。这进一步能够绕过Apache尝试的标准化操作。
但是有一个问题
如果有人想尝试直接在浏览器中利用此漏洞,他们就不会成功。这是因为浏览器还尝试对发送到服务器的网址进行标准化。这意味着即使是我们的双重编码序列也将被删除。这也意味着我们不能简单地使用浏览器来演示这一点。
你可以使用 cURL 来演示这一点,方法是 --路径原样 标志,它可以防止它在发送之前对 URL 进行标准化:
预防和缓解
为了完全防止出现此问题,请务必及时了解Apache的最新补丁。具体而言,你需要至少升级到 2.4.51。但是,定期升级以保持最新状态是一种很好的做法。
如果您运行的是 2.4.49,要缓解此问题,请确保在 Apache 配置中包含以下内容:
为了防止远程代码执行,请禁用 mod_cgi 如果你不使用它。
亲自体验冲击力
有兴趣探索到底发生了什么并亲自尝试一下吗?
Klicken Sie auf den folgenden Link und laden Sie die PDF-Datei dieser Ressource herunter.
Secure Code Warrior kann Ihrem Unternehmen dabei helfen, Code während des gesamten Softwareentwicklungszyklus zu schützen und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, Chief Information Security Officer oder in einem anderen sicherheitsrelevanten Bereich tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu minimieren.
Bericht anzeigenDemo buchen
10 月初,Apache 发布了 2.4.49 版本来修复一个 路径遍历和远程代码执行漏洞 然后是 2.4.50 来解决 2.4.49 中的修复不完整的事实。鉴于此,也许你已经在社交媒体上看到过关于更新到最新版本以避免这些风险的重要性的讨论 据估计,Apache为25%的互联网提供动力。但是怎么回事?这里存在多大的风险?
为什么不自己尝试一下呢?
我们制定了一项使命,以证明现实生活中的风险,并已将其公开供所有人尝试。在本任务中,我们将引导您了解路径遍历漏洞如何影响您的基础架构和应用程序。点击下方直接进入,或继续阅读以详细了解该漏洞。
关于路径遍历漏洞
该漏洞是在 2.4.49 版本中引入的 (由于 URL 标准化函数发生了变化),其中引入了新的路径标准化函数。不幸的是,它未能正确标准化 URL 编码路径。这使得进行一次活动成为可能 路径遍历攻击 如果不存在以下配置:
而且,如果 mod_cgi 已启用,也可以利用它来造成远程代码执行漏洞。但是,让我们先深入研究 URL 编码,以更好地了解出了什么问题。
网址编码
最基本的是,该漏洞是由于不考虑带有 URL 编码的 URL 而发生的。新引入的路径标准化函数无法完全处理点采用 URL 编码的情况。
请记住,要进行路径遍历攻击,你需要使用序列遍历 ../。但是,标准化函数足够聪明,可以将其删除。那你是做什么的?你可以 URL 编码 。(点)向下移至 %2e,然后使用像这样的序列 .% 2e/。这在许多情况下适用于Apache 2.4.40。但是你也可以更进一步,对其进行双重编码。的 URL 编码版本 .% 2e/ 是 .% 252e/。这进一步能够绕过Apache尝试的标准化操作。
但是有一个问题
如果有人想尝试直接在浏览器中利用此漏洞,他们就不会成功。这是因为浏览器还尝试对发送到服务器的网址进行标准化。这意味着即使是我们的双重编码序列也将被删除。这也意味着我们不能简单地使用浏览器来演示这一点。
你可以使用 cURL 来演示这一点,方法是 --路径原样 标志,它可以防止它在发送之前对 URL 进行标准化:
预防和缓解
为了完全防止出现此问题,请务必及时了解Apache的最新补丁。具体而言,你需要至少升级到 2.4.51。但是,定期升级以保持最新状态是一种很好的做法。
如果您运行的是 2.4.49,要缓解此问题,请确保在 Apache 配置中包含以下内容:
为了防止远程代码执行,请禁用 mod_cgi 如果你不使用它。
亲自体验冲击力
有兴趣探索到底发生了什么并亲自尝试一下吗?
Verzeichnis
Secure Code Warrior kann Ihrem Unternehmen dabei helfen, Code während des gesamten Softwareentwicklungszyklus zu schützen und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, Chief Information Security Officer oder in einem anderen sicherheitsrelevanten Bereich tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu minimieren.
Demo buchen下载Ressourcen, die Ihnen den Einstieg erleichtern
Themen und Inhalte der Sicherheitsschulung
Unsere branchenführenden Inhalte werden ständig weiterentwickelt, um sich an die sich wandelnde Softwareentwicklungslandschaft anzupassen und gleichzeitig Ihre Rolle zu berücksichtigen. Die Themen reichen von KI bis hin zu XQuery-Injection und sind für verschiedene Positionen geeignet, von Architekten und Ingenieuren bis hin zu Produktmanagern und QA-Mitarbeitern. Verschaffen Sie sich einen ersten Überblick nach Themen und Rollen und erfahren Sie, was unser Inhaltsverzeichnis zu bieten hat.
Die Kamer van Koophandel setzt Maßstäbe für entwicklergesteuerte Sicherheit in großem Maßstab
Die Kamer van Koophandel berichtet, wie sie sicheres Codieren durch rollenbasierte Zertifizierungen, Trust Score-Benchmarking und eine Kultur der gemeinsamen Verantwortung für Sicherheit in die tägliche Entwicklungsarbeit integriert hat.
%20(1).avif)
.avif)
Bedrohungsmodellierung mit KI: So wird jeder Entwickler zum Bedrohungsmodellierer
Sie werden besser gerüstet sein, um Entwicklern dabei zu helfen, Ideen und Techniken zur Bedrohungsmodellierung mit den KI-Tools zu kombinieren, die sie bereits verwenden, um die Sicherheit zu erhöhen, die Zusammenarbeit zu verbessern und von Anfang an widerstandsfähigere Software zu entwickeln.
Ressourcen, die Ihnen den Einstieg erleichtern
Cybermon ist zurück: Die KI-Mission zum Besiegen des Bosses ist jetzt auf Abruf verfügbar.
Cybermon 2025: Der Kampf gegen den Boss hat nun in SCW ganzjährig begonnen. Der Kampf um die Sicherheit von KI/LLM auf Stammesebene, die Entwicklung von Sicherheits-KI wird durch groß angelegte Modelle verstärkt.
Auslegung des Gesetzes zur Netzresilienz: Was bedeutet es, durch die Entwicklung von Design-Software Sicherheit zu erreichen?
Verstehen Sie die Anforderungen des EU-Gesetzes zur Netzresilienz (CRA), für wen es gilt und wie sich Ingenieurteams durch Designpraktiken, Schwachstellenprävention und Kompetenzaufbau für Entwickler darauf vorbereiten können.
Treibende Faktoren 1: Klare und messbare Erfolgskriterien
Enabler 1 ist der Auftakt zu unserer 10-teiligen Reihe über Erfolgsfaktoren. Er zeigt, wie sichere Codierung mit Geschäftsergebnissen wie Risikominderung und schnellerer Reifung langfristiger Pläne in Verbindung gebracht werden kann.
