Apache

Výpis adresáře pomocí série lomítek (Long Slash Directory Listing)

Dlouhé URL procházejí skrze moduly mod_negotiate.mod_die a mod_auto_index mohou způsobovat, že Apache vypíše obsah adresáře. Tato vlastnost vyšla poprvé na světlo v březnu 2001 ve verzi 1.3.19. Koncepce je velice jednoduchá a vyžaduje několik pokusů aby byl server zasažen. Adresa URL zakončena na vysoký počet lomítek, např. /cgi-bin//////////////// /////////////////////////, může způsobit výpis původního adresáře. Počet lomítek se může měnit podle potřeby ale za pomocí programovacího jazyku perl jsem schopni tento útok z automatizovat podle potřeby. Pro zajímavost většina serverů Apache nedokáže obsloužit URL, která jsou přes 8000 znaků.