問題描述:
fastcgi解析漏洞 webserver fastcgi配置不當,會造成其他檔案(例如css,js,jpg等靜態檔案)被當成php指令碼解析執行。當使用者將惡意指令碼webshell改為靜態檔案上傳到webserver傳遞給後端php解析執行後,會讓攻擊者獲得伺服器的操作許可權 高風險項漏洞位址(url) 引數 請求方法 發現時間 恢復時間 持續時間
get 7月16日 10:24 未恢復 至今解決方案配置webserver關閉cgi.fix_pathinfo為0 或者 配置webserver過濾特殊的php檔案路徑例如:
if ( $fastcgi_script_name ~ ..*/.*php )
return 403;
一般來說網上多是nginx使用者有此漏洞,此處客戶的環境是windows server 2008r2的iis,這裡我在『處理程式對映』裡找到php的雙擊進入此介面
進入『請求限制』
確定後就可以了。
測試:在伺服器上根目錄新建乙個phpinfo()的jpg檔案test.jpg,訪問後面的php名字隨便寫),如果有漏洞則可以看到phpinfo()的資訊,反之會返回404錯誤。
後記:nginx裡面處理此問題,網上的解決方法是寫入
try_files $fastcgi_script_name =404;
到fastcgi.conf裡面,然後在location中引用
location ~ \.php$ {
fastcgi_pass unix:/tmp/phpfpm/php-fpm.sock;
include fastcgi.conf;
一起走過,一起走下去
多久沒有好好的靜下來給你寫封信了,想想,確是好久了啊!只有那麼幾天你就要走了,不知該對你如何說,該對你說要好好的,自己多保重,卻又不想提起這樣的話題。是啊,這樣的話語好讓人感傷,以致有時候刻意閃躲,不為別的,只為不想與你分離。說起這些,你是不是想問我,難道我們分開的還不夠久麼?難道每每想念的時候你都...
和誰一起的幸福
七搞八搞的就搞到這個了 不會讓身邊的好友看到這些 當這是自己的秘密吧.和姓李的認識才幾天 就海誓山盟了 我應該相信著突然的愛情麼 我們算是一見鐘情吧應該.弄丟自己想要的愛情是誰的錯 是那個人還是我自己 他說我太任性太天真 不懂他 可我真的用心拉 我什麼都聽他 連他提出的回他家的要求我都答應了.還有....
一起去打CS
題目描述 早就和lyk約好了去打cs,一直沒找著時間,終於今天我家沒人,他家也沒人,總算可以出去了。但是偏偏天公不作美,某某人非要留那麼多題要做。沒辦法只能盡快做完然後抓緊時間吧 為了盡量節省時間,我倆決定分開做所有題吧 嘿嘿,稍微耍一下滑 但是有的題我比較擅長,而有的題lyk要比我做的快。所以為了...