nginx fastcgi配置失误+解析漏洞引发的漏洞

现在一定还有很多网站用的nginx,自从N个月以前的nginx解析漏洞以来,现在差不多都修复了,一般语句都是这么写的

if ( $fastcgi_script_name ~ \..*\/.*php ) {
return 403;
}

当匹配*/*.php*的时候则返回403

但是有些fastcgi配置的却不只有.php,有些甚至配置了ph*,(网上有一篇文章就是这么写的)

这样.ph*就没法匹配.php*也就又引发漏洞

此bug是我一个朋友Clouds发现的,

解决方法就是看fastcgi配置文件来设置要deny掉的文件后缀

在有些特定的时候,还可以用robots.txt/1.PhP

例如

if ( $fastcgi_script_name ~ \..*\/.*ph* ) {
return 403;
}

不过最好的方法还是cgi.fix_pathinfo=0



无觅相关文章插件,快速提升流量

About webmaster

博主目前为学生,业余时间专注于分享互联网潮流资讯,前沿WEB技术,渗透技术,APT,XSS,RFID,SDR,GSM,RF等技术.此前对前端渗透有较深建树,建博旨在记录与发表前沿技术.感谢大家关注...

分享到:
No Response
Comment (0)
Trackback (0)
Leave a Reply

昵称*

邮箱*

网址

0

贴入百度统计、CNZZ、51啦、量子统计代码等等