Loading [MathJax]/jax/output/CommonHTML/config.js
前往小程序,Get更优阅读体验!
立即前往
文档建议反馈控制台
首页
学习
活动
专区
圈层
工具
MCP广场
文章/答案/技术大牛
发布
首页
学习
活动
专区
圈层
工具
MCP广场
返回腾讯云官网
社区首页 >专栏 >SRC 小漏洞

SRC 小漏洞

作者头像
Khan安全团队
发布于 2025-04-04 07:41:16
发布于 2025-04-04 07:41:16
13200
代码可运行
举报
文章被收录于专栏:Khan安全团队Khan安全团队
运行总次数:0
代码可运行
关联问题
换一批

PROPFIND 漏洞是与 WebDAV(Web Distributed Authoring and Versioning) 协议相关的一种安全漏洞,主要涉及 HTTP 方法 PROPFIND 的不当实现或配置。

PROPFIND 漏洞的原理

漏洞通常由以下原因引发:

  • 不安全的配置服务器未正确限制 PROPFIND 方法的访问权限。
  • 目录遍历漏洞攻击者可能通过 PROPFIND 请求访问本应受限的目录或文件(例如通过 Depth: infinity 参数递归遍历目录)。
  • 信息泄露服务器可能通过 PROPFIND 响应返回敏感信息(如内部文件路径、系统配置等)。
  • 拒绝服务(DoS)攻击者可能发送大量复杂的 PROPFIND 请求,导致服务器资源耗尽。

漏洞的影响

  • 敏感信息泄露攻击者可获取服务器上的文件列表、目录结构或其他元数据。
  • 权限绕过通过遍历目录访问受限文件(如配置文件、日志文件)。
  • 服务器入侵结合其他漏洞(如文件上传漏洞),可能导致远程代码执行(RCE)。
  • 服务中断通过 DoS 攻击使服务器无法响应正常请求。

示例

代码语言:javascript
代码运行次数:0
运行
AI代码解释
复制
curl -X PROPFIND http://example.com/webdav/ -H "Depth: infinity" -H "Content-Type: text/xml" --data '<D:propfind xmlns:D="DAV:"><D:allprop/></D:propfind>'
  • Depth: infinity表示递归遍历所有子目录。
  • <D:allprop/>请求返回所有文件属性。

如果服务器配置不当,可能返回类似以下信息:

代码语言:javascript
代码运行次数:0
运行
AI代码解释
复制
<D:multistatus xmlns:D="DAV:">
  <D:response>
    <D:href>/webdav/</D:href>
    <D:propstat>
      <D:prop>
        <D:displayname>webdav</D:displayname>
        <D:getlastmodified>Fri, 01 Jan 2023 00:00:00 GMT</D:getlastmodified>
      </D:prop>
      <D:status>HTTP/1.1 200 OK</D:status>
    </D:propstat>
  </D:response>
  <D:response>
    <D:href>/webdav/config/</D:href>
    <D:propstat>
      <D:prop>
        <D:displayname>config</D:displayname>
      </D:prop>
      <D:status>HTTP/1.1 200 OK</D:status>
    </D:propstat>
  </D:response>
  <D:response>
    <D:href>/webdav/config/database.ini</D:href>
    <D:propstat>
      <D:prop>
        <D:displayname>database.ini</D:displayname>
      </D:prop>
      <D:status>HTTP/1.1 200 OK</D:status>
    </D:propstat>
  </D:response>
</D:multistatus>
  • 攻击者通过响应发现了 /webdav/config/database.ini 文件路径。攻击者可以直接下载该文件。
本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2025-04-03,如有侵权请联系 cloudcommunity@tencent.com 删除
src
遍历
递归
服务器
漏洞

本文分享自 Khan安全攻防实验室 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

src
遍历
递归
服务器
漏洞
评论
登录后参与评论
暂无评论
登录 后参与评论
推荐阅读
编辑精选文章
换一批
万字详解高可用架构设计
1666
Go 开发者必备:Protocol Buffers 入门指南
842
10分钟带你彻底搞懂分布式链路跟踪
466
多租户的 4 种常用方案
1032
亿级月活的社交 APP,陌陌如何做到 3 分钟定位故障?
756
60页PPT全解:DeepSeek系列论文技术要点整理
1528
Centos基础环境搭建--安装docker
打包centos容器环境搭建基础
Docker 是一个开源的应用容器引擎,基于 Go 语言 并遵从 Apache2.0 协议开源。可以让开发者打包他们的应用以及依赖包到一个轻量级、可移植的容器中,然后发布到任何流行的 Linux 机器上,也可以实现虚拟化。容器是完全使用沙箱机制,相互之间不会有任何接口(类似 iPhone 的 app),更重要的是容器性能开销极低。
有一只柴犬
2024/01/25
2980
Centos基础环境搭建--安装docker
「  【docker】如何安装docker(小白安装docker)  」
容器镜像服务linux容器
蟹钳,有时候想要直接安装docker,却发 现linux自带源没有最新版,老版本的docker也老到不能用了,docker官方文档现在也只提供ubuntu,Windows,mac系统的docker安装的资料,所以,我们可以用到了daocloud的安装源
青益
2023/01/03
3.4K0
初级-手动部署springboot工程到Docker
jar容器打包容器镜像服务
操作系统:centos 8 服务器:腾讯云 jdk:v1.8 maven:v3.6.3
小尘哥
2021/03/03
4290
初级-手动部署springboot工程到Docker
一、docker的安装
容器镜像服务
阿湫..
2023/06/08
7630
Docker在Centos7下安装
容器yumgit容器镜像服务bash
官方参考文档,也可以查看安装文档详细说明。 1.安装依赖软件包 [root@localhost ~]# sudo yum install -y yum-utils device-mapper-persistent-data lvm2 2.添加软件仓库 我们这⾥使⽤稳定版 Docker, 执⾏下⾯命令添加 yum 仓库地址。 [root@localhost ~]# sudo yum-config-manager \  --add-repo \    https://download.docker.co
好派笔记
2021/09/15
3370
Centos 7.5 安装Docker 18
容器镜像服务容器
1、查看CentOS7内核 [root@Docker~]# uname -r 3.10.0-862.el7.x86_64 2、添加Docker源 [root@Docker~]# yum-config-manager --add-repo https://download.docker.com/linux/centos/docker-ce.repo Loaded plugins: fastestmirror, langpacks adding repo from: https://download.docke
程裕强
2022/05/06
7440
Linux 安装 Docker
linux容器镜像服务
本文介绍最新版本的 Docker CE 安装。 本文内容来自我参与维护的 《Docker 从入门到实践》 项目。 CentOS 7 配置 REPO Install yum-utils, which provides the yum-config-manager utility: $ sudo yum install -y yum-utils \ device-mapper-persistent-data \ lvm2 # 官方源 # $ sudo yum-config-manager \
康怀帅
2018/02/28
2.6K0
Docker学习笔记之搭建Docker运行环境
容器镜像服务linux容器kernel
既然 Docker 是一款实用软件,我们就不得不先从它的安装说起,只有让 Docker 运行在我们的计算机上,才能更方便我们对 Docker 相关知识和使用方式的学习。得益于与商业性的优雅结合,Docker 背后拥有大量的优秀开发者为其提供技术支持,而这个优势所造就的结果之一,就是 Docker 拥有丰富且完善的安装体系,我们可以很轻松的通过多种方式安装和运行 Docker。
Jetpropelledsnake21
2019/02/27
7360
【DB宝2】在CentOS7中安装Docker
容器镜像服务centoslinux
一、安装简介 Docker 运行在 CentOS 7 上,要求系统为64位、系统内核版本为 3.10 以上。CentOS 7 的内核一般都是3.10的,而CentOS 6.X 的内核一般都是2.6,在2.6的内核下,Docker运行会比较卡,所以一般会选择升级到3.10版本。 二、在CentOS 7上安装Docker常用命令 1、卸载掉旧版本的 Docker: yum remove -y docker docker-client docker-client-latest docker-common do
AiDBA宝典
2021/05/06
9780
Centos7下安装Docker(详细安装教程)[通俗易懂]
容器镜像服务容器yum虚拟化
百科说:Docker 是一个开源的应用容器引擎,让开发者可以打包他们的应用以及依赖包到一个可移植的容器中,然后发布到任何流行的Linux机器上,也可以实现虚拟化,容器是完全使用沙箱机制,相互之间不会有任何接口。
全栈程序员站长
2022/07/25
10.4K0
002.Docker安装部署
容器镜像服务容器httpsyum网络安全
Delta RPMs disabled because /usr/bin/yum provides applydeltarpmnot installed.
木二
2019/07/26
4540
centos8安装ceph octopus集群
node.js容器镜像服务分布式容器
安装docker,由于centos8默认安装了podman,安装docker会覆盖podman
姚华
2022/06/30
7100
腾讯云上搭建Kubernetes试验平台
yumkubernetes
由于我的腾讯虚拟主机的实例在北京,服务器无法访问k8s.gcr.io, 安装过程有点坎坷,总结一下供大家参考
兆杰
2019/06/14
13.8K1
CentOS7安装Docker指定版本
容器镜像服务
用systemctl命令安装的Docker,版本是比较低的,如果有某些软件(例如harbor)需要Docker的指定版本,那就要安装对应版本的Docker了。此文记录CentOS7安装Docker指定版本的过程。
肓己
2021/08/12
2.7K0
CentOS7安装Docker遇到的问题笔记
javascriptcentos容器镜像服务容器
以下是笔者本人学习搭建docker过程当中记录的一些实践笔记,过程当中也遇到了一些坑,但都解决了,就此记录,留作以后再次搭建时可以直接参考。
朱季谦
2021/09/26
9911
Docker CE 镜像源站
容器镜像服务ubuntu容器centos
其他关于旧版本Docker卸载以及测试开发版本Docker安装的帮助,可以参考官方文档的说明进行安装
拓荒者
2019/03/14
5K1
Linux中安装部署docker
linux容器镜像服务容器部署软件
Docker是一个开源的容器化平台,用于帮助开发者更轻松地构建、打包、分发和运行应用程序。它基于容器化技术,利用操作系统层级的虚拟化来隔离应用程序和其依赖的环境。通过使用Docker,开发者可以在不同的主机上快速部署和扩展应用程序,而不需要担心环境配置和依赖问题。
九仞山
2023/10/14
2.8K0
Linux中安装部署docker
Centos安装和卸载docker
yum容器镜像服务容器
删除当前容器:docker container rm mycentos(提示: 这一步要确定删除容器没问题的情况下, 才可以做)
OwenZhang
2021/12/08
1.4K0
Centos安装和卸载docker
Fedora 安装 Docker CE[docker中文手册]
容器镜像服务容器linuxunix
大家好,我是架构君,一个会写代码吟诗的架构师。今天说一说Fedora 安装 Docker CE[docker中文手册],希望能够帮助大家进步!!!
Java架构师必看
2022/01/15
8680
Centos8安装Docker
yum容器镜像服务容器
删除旧版本,为确保统一,建议大家都执行一下,如果yum报告未安装这些软件包,则可以下一步了。
乐心湖
2020/07/31
3K0
推荐阅读
编辑精选文章
万字详解高可用架构设计Go 开发者必备:Protocol Buffers 入门指南10分钟带你彻底搞懂分布式链路跟踪多租户的 4 种常用方案亿级月活的社交 APP,陌陌如何做到 3 分钟定位故障?60页PPT全解:DeepSeek系列论文技术要点整理
相关讨论
The specified bucket does not exist.", data: []?打开网站出现Action does not exist?The specified key does not exist. 键不存在?
Centos基础环境搭建--安装docker
2980
「  【docker】如何安装docker(小白安装docker)  」
3.4K0
初级-手动部署springboot工程到Docker
4290
一、docker的安装
7630
Docker在Centos7下安装
3370
Centos 7.5 安装Docker 18
7440
Linux 安装 Docker
2.6K0
Docker学习笔记之搭建Docker运行环境
7360
【DB宝2】在CentOS7中安装Docker
9780
Centos7下安装Docker(详细安装教程)[通俗易懂]
10.4K0
002.Docker安装部署
4540
centos8安装ceph octopus集群
7100
腾讯云上搭建Kubernetes试验平台
13.8K1
CentOS7安装Docker指定版本
2.7K0
CentOS7安装Docker遇到的问题笔记
9911
Docker CE 镜像源站
5K1
Linux中安装部署docker
2.8K0
Centos安装和卸载docker
1.4K0
Fedora 安装 Docker CE[docker中文手册]
8680
Centos8安装Docker
3K0
相关推荐
Centos基础环境搭建--安装docker
更多 >
Khan安全团队0
LV.7
Khan安全信息科技有限公司CTO
文章
907
获赞
2.1K
排名
445
专栏
1
作者相关精选
换一批
加入讨论
的问答专区 >
王新栋0
领券

腾讯云开发者

扫码关注腾讯云开发者

扫码关注腾讯云开发者

领取腾讯云代金券

热门产品

热门推荐

更多推荐

Copyright © 2013 - 2025 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有 

深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 深公网安备号 44030502008569

腾讯云计算(北京)有限责任公司 京ICP证150476号 |  京ICP备11018762号 | 京公网安备号11010802020287

问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档

Copyright © 2013 - 2025 Tencent Cloud.

All Rights Reserved. 腾讯云 版权所有

登录 后参与评论
1
1
本文部分代码块支持一键运行,欢迎体验
本文部分代码块支持一键运行,欢迎体验