我有一个通过以下链接运行的旧版应用程序:http://10.0.0.133/?_tag=../../用户
在新服务器上安装后,会失败并出现 403 Forbidden 错误。
我认为服务器认为这是目录遍历攻击。哪个模块可能导致此问题?
谢谢。
答案1
mod_security 可能导致此问题。另外,您可能没有DirectoryIndex
正确配置或没有在包含<Directory></Directory>
块中授予适当的权限。
答案2
如果您尝试传递_tag
带有值的参数../../user
,请将 / 替换为 %2F。如果没有 URL 编码,apache 会尝试为您提供 %{DOCUMENT_ROOT}/?_tag=../../user 目录的内容,但该目录并不存在。