我有一个通过以下链接运行的旧版应用程序:http://10.0.0.133/?_tag=../../用户
在新服务器上安装后,会失败并出现 403 Forbidden 错误。
我认为服务器认为这是目录遍历攻击。哪个模块可能导致此问题?
谢谢。
答案1
mod_security 可能导致此问题。另外,您可能没有DirectoryIndex正确配置或没有在包含<Directory></Directory>块中授予适当的权限。
答案2
如果您尝试传递_tag带有值的参数../../user,请将 / 替换为 %2F。如果没有 URL 编码,apache 会尝试为您提供 %{DOCUMENT_ROOT}/?_tag=../../user 目录的内容,但该目录并不存在。