Cómo solucionar la vulnerabilidad de análisis de Apache y agregar verificación de token

El método de Apache para analizar extensiones de archivos es ".". son todos sufijos, de atrás hacia adelante, si el sufijo no es válido, se analizará el anterior, por ejemplo 1.php.x1.x2.x3, se analizará x3 primero, si no existe, se analizará analiza x2, si no existe, analizará x1, si no existe, analizará solo php.

Definir sufijos, pero es imposible definir todos los sufijos, ¿verdad? x1.x2.x3 se puede reemplazar con cualquier sufijo

Por ejemplo, 1.php.a, .a no está definido, Apache no entiende cuál es el sufijo, por lo que lo analiza al frente, eso es decir, analiza php.

El uso de pseudoestático puede solucionar este problema, reescribiendo archivos similares a .php. Este tipo de archivo

Abra Apache httpd.conf

Busque LoadModule rewrite_module module/mod_rewrite.so

Elimine el #, reinicie Apache y cree uno en el directorio raíz del archivo .htaccess del sitio web, el código es el siguiente:

RewriteEngine On

RewriteRule .(php.| php3.) /index.php

RewriteRule .(pHp.|php3.) /index.php

RewriteRule .(php.|php3.) /index.php

RewriteRule .(Php .|Php3.) /index.php

RewriteRule .(Php.|Php3.) /index.php

RewriteRule .(PhP.| PhP3.) /index.php

RewriteRule .(pHP.|pHP3.) /index.php

RewriteRule .(PHP.|PHP3.) /index.php

Puede que sea una falsa alarma, aún no la he encontrado. Modifique el sufijo definido para ejecutar php según sus propias necesidades y sepárelo con |. /index.php se puede cambiar al archivo que desea mostrar.