主页 / server / 问题 / 113747
Accepted
Eliot Sykes
Asked: 2010-02-18 04:05:26 +0800 CST

这是不安全的 Apache 重写规则吗?

  • 772

我有一个这样的重写规则:

RewriteCond %{DOCUMENT_ROOT}/cache/%{REQUEST_URI} -f
RewriteRule ^(.*)$ cache/$1 [QSA,PT,L]

此规则的简要说明:它检查缓存目录中是否存在请求的文件。如果是,则它为缓存目录提供服务。

例如,对http://somehost.tld/about.html的请求 将从http://somehost.tld/cache/about.html 提供(如果该文件存在)。

我担心的是 RewriteRule 是否不安全。是否有人可以请求这样的 URL,其中包含两个句点以向上移动目录:

http://somehost.tld/../../private_file.txt

那么导致 private_file.txt 从我的 apache 公用文件夹上方的目录中提供服务?

apache-2.2 rewrite mod-rewrite

2 个回答

  1. Best Answer

    在 URL 中包含..在 HTTP 请求级别或浏览器级别都不起作用。浏览器只是解析相对路径,发送对适当文件的请求(将其限制在服务器根目录)。所以在地址栏中输入:

    http://somehost.tld/../../private_file.txt

    将导致对以下内容的 HTTP 请求:

    http://somehost.tld/private_file.txt

    换句话说,有人必须手动制作一个 HTTP 请求../..才能到达 Apache。这又回来了HTTP 400 Bad Request。来自我的本地服务器的示例(没有重写规则):

    ritsuko:~ spyder$ curl -v http://localhost/../randomfile
* About to connect() to localhost port 80 (#0)
*   Trying ::1... connected
* Connected to localhost (::1) port 80 (#0)
> GET /../randomfile HTTP/1.1
> User-Agent: curl/7.19.4 (universal-apple-darwin10.0) libcurl/7.19.4 OpenSSL/0.9.8l zlib/1.2.3
> Host: localhost
> Accept: */*
> 
< HTTP/1.1 400 Bad Request
< Date: Wed, 17 Feb 2010 13:18:40 GMT
< Server: Apache/2.2.13 (Unix) mod_ssl/2.2.13 OpenSSL/0.9.8l DAV/2
< Content-Length: 226
< Connection: close
< Content-Type: text/html; charset=iso-8859-1
< 
<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html><head>
<title>400 Bad Request</title>
</head><body>
<h1>Bad Request</h1>
<p>Your browser sent a request that this server could not understand.<br />
</p>
</body></html>
* Closing connection #0
    • 2

  2. apache不允许“向上移动目录”。

    • 0

相关问题