Durante il tentativo di replicare una vulnerabilità della sicurezza sul mio computer locale, mi sono reso conto che PHP sulla mia macchina non decodifica %2e come punto. Ho creato il seguente file di prova:
<?php var_dump(file_exists("%2e%2e/file_that_exists"));
Che restituisce sempre false. Quali sono i requisiti del server che un attacco del genere potrebbe funzionare?
Sto eseguendo Apache / 2.4.18 con PHP 7.0.25-0ubuntu0.16.04.1.