Если ты юзаешь mod_rewrite и определенную директиву RewriteRule, то хакер может получить доступ к любому файлу на сервере.

Системы уязвимы:
Apache версий 1.3.12 и пред.

Системы не уязвимы:
Apache 1.3.13.

Если директива RewriteRule содержит определенное выражение (например ‘.*’), то атакующий может получить доступ к любым файлам системы.

Однако должен быть загружен mod_rewrite, и только определенные структуры директивы RewriteRule приводят к уязвимости сервера.
Вот несколько примеров директив RewriteRule. Первая — «пробивает» защиту сервера, а другие нет:

RewriteRule /test/(.*) /usr/local/data/test-stuff/$1
RewriteRule /more-icons/(.*) /icons/$1
RewriteRule /go/(.*) http://www.apacheweek.com/$1

Оставить мнение