Sergg

Вот вторая цитата:

 

 

- передача файла с двойным расширением, при этом последнее расширение должно быть не известно веб серверу. Например sh.php.xxx, в таком случае файл может быть интерпретирован как php скрипт, зависит от настроек веб сервера.

Вот меня интересует, что это должны быть за настройки сервера, о укоторых написано?

типа "двойные" расширения обычно обозначают последовательную обработку, типа .tar.gz, либо некую информацию о конкетном файле, типа некий.файл.md5

Это не тот случай, который меня интересует. Я знаю, что некоторые приложения хавают двойные расшинения, типа того же архиватора. Меня интересует внедрение какого-нибудь скрипта под двойным расширением. Не в одном источнике я уже встречал инфу, что можно так замаскировать скрипт. Дописываем расширение, которое не знает веб-сервер. Вот цитата с одного из источников:

 

 

А вы знаете что каждый файл с каждым расширением имеет свой mime-тип? И когда вы скачиваете какой либо файл, то веб сервер говорит браузеру какой тип у данного файла. Этот mime-тип определяется апачем по расширению файла с помощью специальной таблицы соответствия. На основе определенного типа веб сервер может выполнять с данным файлом определенные действия, к примеру выполнить этот файл как php скрипт или perl скрипт или просто отдать его содержимое без обработки и т.д.

Сервак убунту.