来源:自学PHP网 时间:2015-04-17 14:47 作者: 阅读:次
[导读] 现在一定还有很多网站用的nginx,自从N个月以前的nginx解析漏洞以来,现在差不多都修复了,一般语句都是这么写的if ( $fastcgi_script_name ~ \..*\/.*php ) {return 403;}当匹配*/*.php*的时候则返回...
|
现在一定还有很多网站用的nginx,自从N个月以前的nginx解析漏洞以来,现在差不多都修复了,一般语句都是这么写的
当匹配*/*.php*的时候则返回403 但是有些fastcgi配置的却不只有.php,有些甚至配置了ph*,(网上有一篇文章就是这么写的) 这样.ph*就没法匹配.php*也就又引发漏洞 此bug是我一个朋友Clouds发现的,
解决方法就是看fastcgi配置文件来设置要deny掉的文件后缀 在有些特定的时候,还可以用robots.txt/1.PhP 例如
不过最好的方法还是cgi.fix_pathinfo=0
摘自:网络安全技术博客(www.safe121.com) |
自学PHP网专注网站建设学习,PHP程序学习,平面设计学习,以及操作系统学习
京ICP备14009008号-1@版权所有www.zixuephp.com
网站声明:本站所有视频,教程都由网友上传,站长收集和分享给大家学习使用,如由牵扯版权问题请联系站长邮箱904561283@qq.com
