Если ты юзаешь mod_rewrite и определенную директиву RewriteRule, то хакер может получить доступ к любому файлу на сервере.
Системы уязвимы:
Apache версий 1.3.12 и пред.
Системы не уязвимы:
Apache 1.3.13.
Если директива RewriteRule содержит определенное выражение (например '.*'), то атакующий может получить доступ к любым файлам системы.
Однако должен быть загружен mod_rewrite, и только определенные структуры директивы RewriteRule приводят к уязвимости сервера.
Вот несколько примеров директив RewriteRule. Первая - "пробивает" защиту сервера, а другие нет:
RewriteRule /test/(.*) /usr/local/data/test-stuff/$1
RewriteRule /more-icons/(.*) /icons/$1
RewriteRule /go/(.*) http://www.apacheweek.com/$1