lighttpd是德国软件开发者Jan Kneschke所研发的一款开源的Web服务器,它的主要特点是仅需少量的内存及CPU资源即可达到同类网页服务器的性能。 当使用不区分大小写的操作系统或文件系统时,Lighttpd的mod_userdir模块对配置选项中的文件名组件执行了区分大小写的比较,允许远程攻击者绕过预期的访问限制。例如,如果将php配置为处理以.php结尾的文件时,攻击者就可以通过http://example.com/~user/file.PHP请求获得PHP源码。
lighttpd是德国软件开发者Jan Kneschke所研发的一款开源的Web服务器,它的主要特点是仅需少量的内存及CPU资源即可达到同类网页服务器的性能。 当使用不区分大小写的操作系统或文件系统时,Lighttpd的mod_userdir模块对配置选项中的文件名组件执行了区分大小写的比较,允许远程攻击者绕过预期的访问限制。例如,如果将php配置为处理以.php结尾的文件时,攻击者就可以通过http://example.com/~user/file.PHP请求获得PHP源码。