apache mod_mime и двойные расширения

zerkms · 9 Янв 2012

Господа, а вы знали, что если файл назвать

foobar.php.123, тогда он не отдастся как октет-стрим (ожидаемо), а выполнится интерпретатором (ояебу!)

м?

Ragazzo · 9 Янв 2012

да, когда-то давно читал про эту проблему...

Вурдалак · 9 Янв 2012

zerkms, да, один из способов взлома при сохранении файла с пользовательским именем.

fixxxer · 9 Янв 2012

А не надо держать включенными модули, которые не нужны.

zerkms · 9 Янв 2012

fixxxer написал(а):
А не надо держать включенными модули, которые не нужны.

Т.е. mod_mime не нужен?

grigori · 10 Янв 2012

давно пора перестать юзать апач, знаешь

zerkms · 10 Янв 2012

grigori написал(а):
давно пора перестать юзать апач, знаешь

ещё посоветуй пол сменить, ага

grigori · 10 Янв 2012

ну, тогда ешь свой кактус

<FilesMatch "\.php$">
SetHandler application/x-httpd-php
</FilesMatch>
<FilesMatch "\.php\..*">
SetHandler none
</FilesMatch>

zerkms · 10 Янв 2012

Да я понимаю, как это исправить. Другое дело, что я удивлён, что такое вообще оказалось реальным.

grigori · 10 Янв 2012

ты раньше не слышал про взлом сайтов через аплоад скриптов с двойным расшрением?
реально надо класть в папки с аплоадеными файлами .htaccess с phpengine off

fixxxer · 10 Янв 2012

А точно дело в mod_mime, а не в mod_negotiation multiviews?

zerkms · 10 Янв 2012

grigori
нет :-S

zerkms · 10 Янв 2012

fixxxer написал(а):
А точно дело в mod_mime, а не в mod_negotiation multiviews?

У меня счас мультивьюс не включен, а двойное расширение работает

grigori · 10 Янв 2012

fixxxer написал(а):
А точно дело в mod_mime, а не в mod_negotiation multiviews?

http://httpd.apache.org/docs/2.0/mod/mod_mime.html#multipleext

fixxxer · 10 Янв 2012

grigori написал(а):
http://httpd.apache.org/docs/2.0/mod/mod_mime.html#multipleext

И без единого AddLanguage все равно такое поведение? Какое говно.

Не зря я не люблю апач.

Такое поведение ж нафиг никому не нужно, кроме как авторам апача с их по-дурацки сделанным мультиязычным мануалом. Брр.

grigori · 10 Янв 2012

fixxxer у меня апача нет уже много лет
если помнишь, пол-года назад обсуждали cgi.fix_pathinfo, что с nginx-fcgi подобная дырка может быть, если включить cgi.fix_pathinfo и в location ~ .php не проверять наличие скрипта,
что обычно и делается в целях совместимости с апачем

fixxxer · 10 Янв 2012

Да я тоже сто лет живого индейца не видел.

У fix_pathinfo изначально несколько другая природа (cgi-совместимость), там все таки со слэшом, а не с точкой. Но похоже, да

sobachnik · 10 Янв 2012

ты раньше не слышал про взлом сайтов через аплоад скриптов с двойным расшрением?

Давно было интересно, для чего вообще сохранять оригинальное название файла?... А если разные файлы с одинаковым названием будут загружать? Просматривать загруженные файлы и приписывать _2?

Если только в б.д. не записывается информация о файлах ещё может имеет смысл, чтобы понятно было, что за файл, а так...

apache mod_mime и двойные расширения

zerkms

TDD infected

Ragazzo

TDD interested

Вурдалак

Продвинутый новичок

fixxxer

К.О.

zerkms

TDD infected

grigori

( ͡° ͜ʖ ͡°)

zerkms

TDD infected

grigori

( ͡° ͜ʖ ͡°)

zerkms

TDD infected

grigori

( ͡° ͜ʖ ͡°)

fixxxer

К.О.

zerkms

TDD infected

zerkms

TDD infected

grigori

( ͡° ͜ʖ ͡°)

fixxxer

К.О.

grigori

( ͡° ͜ʖ ͡°)

fixxxer

К.О.

sobachnik

Новичок