使用nginx+php組建的**只要允許上傳就可能被黑客入侵,直到5.21日凌晨,nginx尚未發布修復該漏洞的補丁;已經有一些**被黑了,管理員速修復!
測試方法:
例如:臨時修補方法,可3選其一
1、設定php.ini的:
cgi.fix_pathinfo為0
重啟php。最方便,但修改設定的影響需要自己評估。
2、給nginx的vhost配置新增如下內容,重啟nginx。vhost較少的情況下也很方便。
if ( $fastcgi_script_name ~ ..*/.*php )
3、禁止上傳目錄解釋php程式。不需要動webserver,如果vhost和伺服器較多,短期內難度急劇上公升;建議在vhost和伺服器較少的情況下採用。
php函式 PHP pathinfo 函式
pathinfo 函式以陣列的形式返回檔案路徑的資訊。pathinfo path,options 引數 描述path 必需。規定要檢查的路徑。process sections 可選。規定要返回的陣列元素。預設是 all。可能的值 pathinfo 返回乙個關聯陣列包含有 path 的資訊。包括以下的...
PHP FirstPost存在路徑洩露漏洞
受影響系統 php firstpost php firstpost 0.1 描述 bugtraq id 4274 cve can id cve 2002 0445 php firstpost是一款phpweb 日誌程式,包含乙個開放的提議佇列和評估系統。php firstpost對不存在的頁面請求處...
url存在鏈結注入漏洞 常見漏洞驗證方法
1 跨站指令碼 1 get方式跨站指令碼 具體方法 在輸入的引數後逐條新增以下語句,以第一條為例,輸入後,只要其中一條彈出顯示523468的告警框,就說明存在跨站漏洞,記錄漏洞,停止測試。由於某些 會對字串,這樣不管有沒有彈出顯示523468的告警框,都表明存在跨站指令碼漏洞。2 post方式跨站指...