PHP PATH_INFO 存在漏洞
来源:互联网 发布:飞利浦淘宝旗舰店 编辑:程序博客网 时间:2024/05/17 05:10
使用nginx+php组建的网站只要允许上传图片就可能被黑客入侵,直到5.21日凌晨,nginx尚未发布修复该漏洞的补丁;已经有一些网站被黑了,管理员速修复!
测试方法:
Nginx的服务器上传图片访问图片地址,后面加上4shell.php
例如:<A href="http://up.2cto.com/Article/201005/20100528102421897.jpg/4shell.php
临时修补方法,可3选其一
1、设置php.ini的:
cgi.fix_pathinfo为0
重启php。最方便,但修改设置的影响需要自己评估。
2、给nginx的vhost配置添加如下内容,重启nginx。vhost较少的情况下也很方便。
if ( $fastcgi_script_name ~ ..*/.*php ) {
return 403;
}
3、禁止上传目录解释PHP程序。不需要动webserver,如果vhost和服务器较多,短期内难度急剧上升;建议在vhost和服务器较少的情况下采用。
0 0
- PHP PATH_INFO 存在漏洞
- php Undefined PATH_INFO
- PHP中的$_SERVER['PATH_INFO']
- PHP中的$_SERVER['PATH_INFO']
- PHP中的$_SERVER['PATH_INFO']
- PHP中的$_SERVER['PATH_INFO']
- php $_SERVER['path_info'] 失效
- PHP FirstPost存在路径泄露漏洞
- php框架PATH_INFO模式配置
- PHP路由模式Path_Info模式
- Nginx/PHP/path_info问题,去掉index.php
- Nginx(PHP/fastcgi)的PATH_INFO问题
- Nginx(PHP/fastcgi)的PATH_INFO配置
- Nginx(PHP/fastcgi)的PATH_INFO配置
- Typecho install.php存在的反序列化漏洞
- nginx的php fastcgi模式PATH_INFO解决办法Magento正常
- Nginx配置隐藏index.php和PATH_INFO支持
- yii2 如何使用 PATH_INFO 模式 并去掉 index.php
- 图片显示浏览器兼容问题
- Redis介绍以及安装(Linux)
- /杭电2015偶数求和
- JavaLearning:代理设计模式
- 编程中常见的Foo,是什么意思。。
- PHP PATH_INFO 存在漏洞
- Block
- CF 450B矩阵快速幂
- 单元测试中,避免执行静态代码块中的代码的方法
- response.getWriter().write() 向前台打印信息
- Linux系统木马后门查杀方法详解
- hd 2008 数值统计
- poj 2513 Colored Sticks
- 爸爸去哪儿第二季大家都没有人在讨论的吗~