我不小心将文件上传到我的网站,它被黑了(愚蠢的我)。黑客用上传器上传了一个文件 index.php.jpg,然后简单地用它访问了我的网站(它是一个 shell99 脚本),但我不明白为什么它会起作用。有聪明人能解释一下吗?
user1537415
问问题
1435 次
2 回答
8
Apache 控制哪些文件扩展名可以和不能执行 PHP。这可以在服务器级别或每个站点级别(例如使用.htaccess)进行控制。
默认情况下,.jpg扩展不应允许PHP 执行。也许文件名是真的index.jpg.php,你误读了。但是,如果文件名真的 index.php.jpg是,您需要查看所有可能的位置并锁定您的配置以仅允许.php扩展程序执行 PHP。
于 2012-10-02T13:50:55.593 回答
3
文件名要么是伪造的,插入了 \x000 来欺骗 httpd,要么.htaccess是为了对 jpg 文件强制执行 PHP 而植入的。
于 2012-10-02T13:49:16.077 回答