Apache模块 mod_negotiation 文件名暴力破解分析
来源:互联网 发布:圣经如何读 知乎 编辑:程序博客网 时间:2024/06/08 13:37
Apache模块 mod_negotiation 官方简介: http://lamp.linux.gov.cn/Apache/ApacheMenu/mod/mod_negotiation.html
MultiViews查询是由Options
指令的MultiViews
选项激活的。如果服务器接收了一个对/some/dir/foo
的请求,而/some/dir/foo
并不存在,则服务器会查找这个目录下所有的 foo.*
文件,并有效地伪造一个说明这些 foo.*
文件的类型表,假定客户可能请求的一个,把他们指定为这个类型的媒体类型及内容编码。最终选择其中最符合客户请求的文档,返回给客户。
MultiViewsMatch
指令指示Apache在选择文件时是否考虑不包含内容协商元信息的文件。
----------分割线-----------------------------
意思很简单,当 GET /bar 不存在时 服务器下会查找这个目录下bar.*的文件 例如: bar.php bar.jsp
此特征可以用来爆破网站文件
以下是测试过过程:
get 请求 index GET /index
返回:
<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html><head>
<title>406 Not Acceptable</title>
</head><body>
<h1>Not Acceptable</h1>
<p>An appropriate representation of the requested resource /index could not be found on this server.</p>
Available variants:
<ul>
<li><a href="index.php">index.php</a> , type application/x-httpd-php</li>
</ul>
</body></html>
再看 Alternates头的内容是: {"index.php" 1 {type application/x-httpd-php} {length 5446}}
- Apache模块 mod_negotiation 文件名暴力破解分析
- Apache模块 mod_negotiation 文件名暴力破解分析
- BurpSuite系列(五)----Intruder模块(暴力破解)
- apache mod_negotiation html注入和http拆分漏洞
- 暴力破解测试工具--Patator 源码分析
- 基于FEA的暴力破解行为分析
- 暴力破解
- 暴力破解
- 暴力破解
- apache prefork 模块指令分析
- PHPCMS模块分析之模块结构----独孤九剑破解法
- PHPCMS模块分析之广告模块详解----九阴真经破解法
- Apache Kafka源码分析-模块简介
- 防止SSH暴力破解
- 暴力破解ImageToPDF.exe
- 3389多线程暴力破解
- 3389多线程暴力破解
- 关于暴力破解 ---hydra
- ubuntu 内核启动过程
- ios xml解析
- Apache2.2.0-2.2.21 httpOnly Cookie Disclosure 测试过程
- iOS的XML解析器 GDataXML
- iOS 5 Storyboard 入门
- Apache模块 mod_negotiation 文件名暴力破解分析
- iOS 5 ARC 入门
- 揭开Java IO流中的flush()的神秘面纱
- 线段树D
- linux下gvim安装,解决终端开gvim会卡死的问题
- hdu oj 2025
- iOS6 自动布局 入门–Auto Layout
- 类之间的关系
- iOS小技巧:用小图片重复显示来设置大背景图片