Apache 2.2 .php.gif tiltása

Web, mail, IRC, IM, hálózatok

Az apache 2.2 alapból a .php.* fájlok esetén is elindítja a php értelmezőt, annak ellenére, hogy a FilesMatch "\.php$" mintával állítja be az x-httpd-php handlert.
Jelenleg csak mod_security modul segítségével tudom blokkolni a .php.* típusú kérelmeket.
Találtam ugyan pár alternatív blokkolási lehetőséget, de nálam ezek nem működtek.
Apache 2.2 alatt mi a szép és korrekt módja annak, hogy csak a .php végződésű fájlok kaphassák meg a php értelmezőt?

  • 922 megtekintés

( plt | 2017. 12. 19., k – 15:52 )

Mivel a probléma csak mod_php-t érinti, a végső megoldás nálam egy php modul lesz, ami blokkolja a php-s kéréseket, ha a REQUEST_URI értéke tartalmazza a ".php." karaktersorozatot.
A modul már működik is, és még naplóba is rögzíti a blokkolt kérelem adatait, de érdekes módon egy kérelemre 8 naplóbejegyzés születik, különböző PID értékekkel.
A modul a PHP_RINIT_FUNCTION() függvényben ellenőrzi a kérelmet, és ha blokkolandó, akkor a FAILURE értékkel tér vissza.
Van valakinek ötlete, hogy miért készül 8 naplóbejegyzés is? 8-szor is megpróbálja lefuttatni az inicializálást?

( Nyosigomboc v | 2017. 12. 19., k – 16:18 )

Nem ezt kerdezted, de az nem megoldas, ha megakadalyozod, hogy egyaltalan ilyesmi keruljon a gepedre? Ezt meg akkor is megtennem, ha egyebkent beallitod a .php.gif futtatasanak tiltasat.

Gondolom van valami filefeltolto oldalad, es az hozza ezeket letre. Ha a user pl. ../mypic.gif vagy hasonlo neven tolt fel file-t, akkor felul tudja irni az oldalad bizonyos reszeit. Ha %00 vagy %2f%2f vagy valami utf-8-as trukkot (. %a0 %2f) nem jol kezelsz, konnyen megszivhatod. Nekem itt az input ellenorzessel kapcsolatban gyanus, hogy nem jol kezelsz valamit. Egyebkent sokan DB-ben taroljak a feltoltott file nevet (szinten ellenorzes utan), es egy id-val, vagy ha baj, ha vegigporgetheto, generalt uuid-val nevezik es a feltoltott file-t (lehet binary blob-ban is, neha annak is van elonye).

--
Worrying about killer AI and the superintelligent robots is like worrying about overcrowding on Mars. - Garry Kasparov