Apache
|
12.01.2024 |
Apache Applications Targeted by Stealthy Attacker |
Apache |
||
|
04.04.2018 |
Recently we talked a lot about attacks exploiting Java deserialization vulnerabilties in systems like Apache SOLR and WebLogic. Most of these attacks targeted Linux/Unix systems. But recently, I am seeing more attacks that target windows. |
Apache |
Výpis adresáře pomocí série lomítek (Long Slash Directory Listing)
Dlouhé URL procházejí skrze moduly mod_negotiate.mod_die a mod_auto_index mohou způsobovat, že Apache vypíše obsah adresáře. Tato vlastnost vyšla poprvé na světlo v březnu 2001 ve verzi 1.3.19. Koncepce je velice jednoduchá a vyžaduje několik pokusů aby byl server zasažen. Adresa URL zakončena na vysoký počet lomítek, např. /cgi-bin//////////////// /////////////////////////, může způsobit výpis původního adresáře. Počet lomítek se může měnit podle potřeby ale za pomocí programovacího jazyku perl jsem schopni tento útok z automatizovat podle potřeby. Pro zajímavost většina serverů Apache nedokáže obsloužit URL, která jsou přes 8000 znaků.