体验路径遍历漏洞的影响,这是最近 Apache 困境的罪魁祸首
10 月初,Apache 发布了 2.4.49 版本来修复一个 路径遍历和远程代码执行漏洞 然后是 2.4.50 来解决 2.4.49 中的修复不完整的事实。鉴于此,也许你已经在社交媒体上看到过关于更新到最新版本以避免这些风险的重要性的讨论 据估计,Apache为25%的互联网提供动力。但是怎么回事?这里存在多大的风险?
为什么不自己尝试一下呢?
我们制定了一项使命,以证明现实生活中的风险,并已将其公开供所有人尝试。在本任务中,我们将引导您了解路径遍历漏洞如何影响您的基础架构和应用程序。点击下方直接进入,或继续阅读以详细了解该漏洞。
关于路径遍历漏洞
该漏洞是在 2.4.49 版本中引入的 (由于 URL 标准化函数发生了变化),其中引入了新的路径标准化函数。不幸的是,它未能正确标准化 URL 编码路径。这使得进行一次活动成为可能 路径遍历攻击 如果不存在以下配置:
.avif)
而且,如果 mod_cgi 已启用,也可以利用它来造成远程代码执行漏洞。但是,让我们先深入研究 URL 编码,以更好地了解出了什么问题。
网址编码
最基本的是,该漏洞是由于不考虑带有 URL 编码的 URL 而发生的。新引入的路径标准化函数无法完全处理点采用 URL 编码的情况。
请记住,要进行路径遍历攻击,你需要使用序列遍历 ../。但是,标准化函数足够聪明,可以将其删除。那你是做什么的?你可以 URL 编码 。(点)向下移至 %2e,然后使用像这样的序列 .% 2e/。这在许多情况下适用于Apache 2.4.40。但是你也可以更进一步,对其进行双重编码。的 URL 编码版本 .% 2e/ 是 .% 252e/。这进一步能够绕过Apache尝试的标准化操作。
但是有一个问题
如果有人想尝试直接在浏览器中利用此漏洞,他们就不会成功。这是因为浏览器还尝试对发送到服务器的网址进行标准化。这意味着即使是我们的双重编码序列也将被删除。这也意味着我们不能简单地使用浏览器来演示这一点。
你可以使用 cURL 来演示这一点,方法是 --路径原样 标志,它可以防止它在发送之前对 URL 进行标准化:
.avif)
预防和缓解
为了完全防止出现此问题,请务必及时了解Apache的最新补丁。具体而言,你需要至少升级到 2.4.51。但是,定期升级以保持最新状态是一种很好的做法。
如果您运行的是 2.4.49,要缓解此问题,请确保在 Apache 配置中包含以下内容:
.avif)
为了防止远程代码执行,请禁用 mod_cgi 如果你不使用它。
亲自体验冲击力
有兴趣探索到底发生了什么并亲自尝试一下吗?
10月初,Apache发布了2.4.49版本来修复路径遍历和远程代码执行漏洞,然后发布了2.4.50版本以解决修复未完成的事实。我们制定了一项使命,以证明现实生活中的风险。现在就试试吧。
Secure Code Warrior puede ayudar a su organización a proteger el código a lo largo de todo el ciclo de vida del desarrollo de software y a crear una cultura que dé prioridad a la ciberseguridad. Tanto si es usted responsable de seguridad de aplicaciones, desarrollador, director de seguridad de la información o cualquier otra persona relacionada con la seguridad, podemos ayudar a su organización a reducir los riesgos asociados al código inseguro.
Reservar una demostración
10 月初,Apache 发布了 2.4.49 版本来修复一个 路径遍历和远程代码执行漏洞 然后是 2.4.50 来解决 2.4.49 中的修复不完整的事实。鉴于此,也许你已经在社交媒体上看到过关于更新到最新版本以避免这些风险的重要性的讨论 据估计,Apache为25%的互联网提供动力。但是怎么回事?这里存在多大的风险?
为什么不自己尝试一下呢?
我们制定了一项使命,以证明现实生活中的风险,并已将其公开供所有人尝试。在本任务中,我们将引导您了解路径遍历漏洞如何影响您的基础架构和应用程序。点击下方直接进入,或继续阅读以详细了解该漏洞。
关于路径遍历漏洞
该漏洞是在 2.4.49 版本中引入的 (由于 URL 标准化函数发生了变化),其中引入了新的路径标准化函数。不幸的是,它未能正确标准化 URL 编码路径。这使得进行一次活动成为可能 路径遍历攻击 如果不存在以下配置:
而且,如果 mod_cgi 已启用,也可以利用它来造成远程代码执行漏洞。但是,让我们先深入研究 URL 编码,以更好地了解出了什么问题。
网址编码
最基本的是,该漏洞是由于不考虑带有 URL 编码的 URL 而发生的。新引入的路径标准化函数无法完全处理点采用 URL 编码的情况。
请记住,要进行路径遍历攻击,你需要使用序列遍历 ../。但是,标准化函数足够聪明,可以将其删除。那你是做什么的?你可以 URL 编码 。(点)向下移至 %2e,然后使用像这样的序列 .% 2e/。这在许多情况下适用于Apache 2.4.40。但是你也可以更进一步,对其进行双重编码。的 URL 编码版本 .% 2e/ 是 .% 252e/。这进一步能够绕过Apache尝试的标准化操作。
但是有一个问题
如果有人想尝试直接在浏览器中利用此漏洞,他们就不会成功。这是因为浏览器还尝试对发送到服务器的网址进行标准化。这意味着即使是我们的双重编码序列也将被删除。这也意味着我们不能简单地使用浏览器来演示这一点。
你可以使用 cURL 来演示这一点,方法是 --路径原样 标志,它可以防止它在发送之前对 URL 进行标准化:
预防和缓解
为了完全防止出现此问题,请务必及时了解Apache的最新补丁。具体而言,你需要至少升级到 2.4.51。但是,定期升级以保持最新状态是一种很好的做法。
如果您运行的是 2.4.49,要缓解此问题,请确保在 Apache 配置中包含以下内容:
为了防止远程代码执行,请禁用 mod_cgi 如果你不使用它。
亲自体验冲击力
有兴趣探索到底发生了什么并亲自尝试一下吗?
10 月初,Apache 发布了 2.4.49 版本来修复一个 路径遍历和远程代码执行漏洞 然后是 2.4.50 来解决 2.4.49 中的修复不完整的事实。鉴于此,也许你已经在社交媒体上看到过关于更新到最新版本以避免这些风险的重要性的讨论 据估计,Apache为25%的互联网提供动力。但是怎么回事?这里存在多大的风险?
为什么不自己尝试一下呢?
我们制定了一项使命,以证明现实生活中的风险,并已将其公开供所有人尝试。在本任务中,我们将引导您了解路径遍历漏洞如何影响您的基础架构和应用程序。点击下方直接进入,或继续阅读以详细了解该漏洞。
关于路径遍历漏洞
该漏洞是在 2.4.49 版本中引入的 (由于 URL 标准化函数发生了变化),其中引入了新的路径标准化函数。不幸的是,它未能正确标准化 URL 编码路径。这使得进行一次活动成为可能 路径遍历攻击 如果不存在以下配置:
而且,如果 mod_cgi 已启用,也可以利用它来造成远程代码执行漏洞。但是,让我们先深入研究 URL 编码,以更好地了解出了什么问题。
网址编码
最基本的是,该漏洞是由于不考虑带有 URL 编码的 URL 而发生的。新引入的路径标准化函数无法完全处理点采用 URL 编码的情况。
请记住,要进行路径遍历攻击,你需要使用序列遍历 ../。但是,标准化函数足够聪明,可以将其删除。那你是做什么的?你可以 URL 编码 。(点)向下移至 %2e,然后使用像这样的序列 .% 2e/。这在许多情况下适用于Apache 2.4.40。但是你也可以更进一步,对其进行双重编码。的 URL 编码版本 .% 2e/ 是 .% 252e/。这进一步能够绕过Apache尝试的标准化操作。
但是有一个问题
如果有人想尝试直接在浏览器中利用此漏洞,他们就不会成功。这是因为浏览器还尝试对发送到服务器的网址进行标准化。这意味着即使是我们的双重编码序列也将被删除。这也意味着我们不能简单地使用浏览器来演示这一点。
你可以使用 cURL 来演示这一点,方法是 --路径原样 标志,它可以防止它在发送之前对 URL 进行标准化:
预防和缓解
为了完全防止出现此问题,请务必及时了解Apache的最新补丁。具体而言,你需要至少升级到 2.4.51。但是,定期升级以保持最新状态是一种很好的做法。
如果您运行的是 2.4.49,要缓解此问题,请确保在 Apache 配置中包含以下内容:
为了防止远程代码执行,请禁用 mod_cgi 如果你不使用它。
亲自体验冲击力
有兴趣探索到底发生了什么并亲自尝试一下吗?
Haga clic en el siguiente enlace y descargue el PDF de este recurso.
Secure Code Warrior puede ayudar a su organización a proteger el código a lo largo de todo el ciclo de vida del desarrollo de software y a crear una cultura que dé prioridad a la ciberseguridad. Tanto si es usted responsable de seguridad de aplicaciones, desarrollador, director de seguridad de la información o cualquier otra persona relacionada con la seguridad, podemos ayudar a su organización a reducir los riesgos asociados al código inseguro.
Ver informeReservar una demostración
10 月初,Apache 发布了 2.4.49 版本来修复一个 路径遍历和远程代码执行漏洞 然后是 2.4.50 来解决 2.4.49 中的修复不完整的事实。鉴于此,也许你已经在社交媒体上看到过关于更新到最新版本以避免这些风险的重要性的讨论 据估计,Apache为25%的互联网提供动力。但是怎么回事?这里存在多大的风险?
为什么不自己尝试一下呢?
我们制定了一项使命,以证明现实生活中的风险,并已将其公开供所有人尝试。在本任务中,我们将引导您了解路径遍历漏洞如何影响您的基础架构和应用程序。点击下方直接进入,或继续阅读以详细了解该漏洞。
关于路径遍历漏洞
该漏洞是在 2.4.49 版本中引入的 (由于 URL 标准化函数发生了变化),其中引入了新的路径标准化函数。不幸的是,它未能正确标准化 URL 编码路径。这使得进行一次活动成为可能 路径遍历攻击 如果不存在以下配置:
而且,如果 mod_cgi 已启用,也可以利用它来造成远程代码执行漏洞。但是,让我们先深入研究 URL 编码,以更好地了解出了什么问题。
网址编码
最基本的是,该漏洞是由于不考虑带有 URL 编码的 URL 而发生的。新引入的路径标准化函数无法完全处理点采用 URL 编码的情况。
请记住,要进行路径遍历攻击,你需要使用序列遍历 ../。但是,标准化函数足够聪明,可以将其删除。那你是做什么的?你可以 URL 编码 。(点)向下移至 %2e,然后使用像这样的序列 .% 2e/。这在许多情况下适用于Apache 2.4.40。但是你也可以更进一步,对其进行双重编码。的 URL 编码版本 .% 2e/ 是 .% 252e/。这进一步能够绕过Apache尝试的标准化操作。
但是有一个问题
如果有人想尝试直接在浏览器中利用此漏洞,他们就不会成功。这是因为浏览器还尝试对发送到服务器的网址进行标准化。这意味着即使是我们的双重编码序列也将被删除。这也意味着我们不能简单地使用浏览器来演示这一点。
你可以使用 cURL 来演示这一点,方法是 --路径原样 标志,它可以防止它在发送之前对 URL 进行标准化:
预防和缓解
为了完全防止出现此问题,请务必及时了解Apache的最新补丁。具体而言,你需要至少升级到 2.4.51。但是,定期升级以保持最新状态是一种很好的做法。
如果您运行的是 2.4.49,要缓解此问题,请确保在 Apache 配置中包含以下内容:
为了防止远程代码执行,请禁用 mod_cgi 如果你不使用它。
亲自体验冲击力
有兴趣探索到底发生了什么并亲自尝试一下吗?
Índice
Secure Code Warrior puede ayudar a su organización a proteger el código a lo largo de todo el ciclo de vida del desarrollo de software y a crear una cultura que dé prioridad a la ciberseguridad. Tanto si es usted responsable de seguridad de aplicaciones, desarrollador, director de seguridad de la información o cualquier otra persona relacionada con la seguridad, podemos ayudar a su organización a reducir los riesgos asociados al código inseguro.
Reservar una demostraciónDescargarRecursos para ayudarle a empezar
Temas y contenidos de la formación sobre códigos de seguridad
Nuestro contenido líder en el sector está en constante evolución para adaptarse al cambiante panorama del desarrollo de software, teniendo en cuenta su función. Los temas abarcan desde la IA hasta la inyección de XQuery, y son aptos para puestos que van desde arquitectos e ingenieros hasta gestores de productos y control de calidad. Eche un vistazo por adelantado a nuestro catálogo de contenidos, ordenados por tema y función.
La Cámara de Comercio establece el estándar para la seguridad impulsada por desarrolladores a gran escala
Kamer van Koophandel comparte cómo ha integrado la codificación segura en el desarrollo diario mediante certificaciones basadas en roles, evaluaciones comparativas de Trust Score y una cultura de responsabilidad compartida en materia de seguridad.
%20(1).avif)
.avif)
Modelado de amenazas con IA: convertir a cada desarrollador en un modelador de amenazas
Saldrá mejor equipado para ayudar a los desarrolladores a combinar ideas y técnicas de modelado de amenazas con las herramientas de IA que ya utilizan para reforzar la seguridad, mejorar la colaboración y crear software más resistente desde el principio.
Recursos para ayudarle a empezar
Cybermon ha vuelto: la misión de derrotar al jefe IA ya está disponible bajo demanda.
Cybermon 2025 ya está disponible en SCW durante todo el año. Guerra de seguridad de IA/LLM de alto nivel de la tribu, desarrollo de IA de seguridad reforzada con modelos de gran escala.
Interpretación de la Ley de Resiliencia de la Red: ¿Qué significa lograr la seguridad mediante el diseño del desarrollo de software?
Comprenda los requisitos de la Ley de Resiliencia de las Redes de la Unión Europea (CRA), a quiénes se aplica y cómo los equipos de ingeniería pueden prepararse mediante prácticas de diseño, prevención de vulnerabilidades y desarrollo de capacidades de los desarrolladores.
Factor impulsor 1: Criterios de éxito claros y medibles
El facilitador 1 es el preludio de nuestra serie de 10 partes sobre los impulsores del éxito, que muestra cómo vincular la codificación segura con los resultados empresariales, como la reducción del riesgo y el aumento de la velocidad de maduración de los planes a largo plazo.
