本篇內(nèi)容主要講解“如何修補(bǔ)基于nginx+php組建的網(wǎng)站上傳圖片漏洞”,感興趣的朋友不妨來(lái)看看��。本文介紹的方法操作簡(jiǎn)單快捷����,實(shí)用性強(qiáng)。下面就讓小編來(lái)帶大家學(xué)習(xí)“如何修補(bǔ)基于nginx+php組建的網(wǎng)站上傳圖片漏洞”吧!
成都創(chuàng)新互聯(lián)是一家專(zhuān)業(yè)提供清徐企業(yè)網(wǎng)站建設(shè),專(zhuān)注與成都做網(wǎng)站��、成都網(wǎng)站制作��、H5技術(shù)、小程序制作等業(yè)務(wù)���。10年已為清徐眾多企業(yè)、政府機(jī)構(gòu)等服務(wù)�����。創(chuàng)新互聯(lián)專(zhuān)業(yè)網(wǎng)站設(shè)計(jì)公司優(yōu)惠進(jìn)行中��。
使用nginx+php組建的網(wǎng)站只要允許上傳圖片就可能被黑客入侵����,直到5.21日凌晨,nginx尚未發(fā)布修復(fù)該漏洞的補(bǔ)?��?��;已經(jīng)有一些網(wǎng)站被黑了,管理員速修復(fù)�����!
國(guó)內(nèi)頂級(jí)安全團(tuán)隊(duì)80sec于5.20日下午6點(diǎn)發(fā)布了一個(gè)關(guān)于nginx的漏洞通告��,由于該漏洞的存在,使用nginx+php組建的網(wǎng)站只要允許上傳圖片就可能被黑客入侵���,直到5.21日凌晨����,nginx尚未發(fā)布修復(fù)該漏洞的補(bǔ)?��?���;已經(jīng)有一些網(wǎng)站被黑了��,管理員速修復(fù)�����!
根據(jù)Netcraft的統(tǒng)計(jì)�,直到2010年4月,全球一共有1300萬(wàn)臺(tái)服務(wù)器運(yùn)行著nginx程序��;非常保守的估計(jì)�,其中至少有600萬(wàn)臺(tái)服務(wù)器運(yùn)行著nginx并啟用了php支持;繼續(xù)保守的估計(jì)�����,其中有1/6,也就是100萬(wàn)臺(tái)服務(wù)器允許用戶(hù)上傳圖片��。有圖有真相����。
沒(méi)錯(cuò)�����,重申一次�����,由于nginx有漏洞���,這100萬(wàn)臺(tái)服務(wù)器可能通過(guò)上傳圖片的方法被黑客輕易的植入木馬�。植入木馬的過(guò)程也非常簡(jiǎn)單���,就是把木馬改成圖片上傳就是了�,由于危害非常大���,就不說(shuō)細(xì)節(jié)了����。
說(shuō)了那么多,我想大家對(duì)80sec這個(gè)頂級(jí)安全團(tuán)隊(duì)比較好奇吧����,素包子簡(jiǎn)單介紹一下。
80sec團(tuán)隊(duì)由一群年輕�、充滿(mǎn)活力、充滿(mǎn)體力�����、充滿(mǎn)激情�����、富有創(chuàng)造力的未婚dota男組成��,他們均在各大互聯(lián)網(wǎng)公司從事信息安全工作�,他們的口號(hào)是know it then hack it,素包子非常認(rèn)同這個(gè)觀點(diǎn):“我們只要非常熟悉一個(gè)事物��,就有可能客觀的發(fā)現(xiàn)它的不足之處��,同時(shí)我們也能的發(fā)現(xiàn)該事物的優(yōu)點(diǎn)”。
下面介紹一下他們的豐功偉績(jī)�,他們?cè)l(fā)現(xiàn)IIS、IE����、FireFox、Maxthon�、世界之窗、PHPWind���、DeDeCMS、QQ mail��、QuarkMail����、EXTMail等軟件的漏洞,可見(jiàn)碩果累累�。
既然介紹了80sec,就不得不介紹另外一個(gè)非常專(zhuān)注WEB安全的頂級(jí)安全團(tuán)隊(duì)80vul����,該團(tuán)隊(duì)同樣也是由80后的男童鞋組成(90后表示壓力很大:p),他們也發(fā)現(xiàn)了大量WEB APP的安全漏洞���,例如IE����、Gmail、wordpress����、PHPWind、DISCUZ���、MYBB等���。
據(jù)說(shuō)黑客已經(jīng)在行動(dòng)了;安全人員���、系統(tǒng)管理人員�����、行動(dòng)起來(lái)吧��,趕緊修復(fù)該漏洞����;最好不要有僥幸心理,否則下一個(gè)被黑客入侵的可能就是你的網(wǎng)站���。根據(jù)80sec安全公告的描述���,臨時(shí)修復(fù)方法如下,可3選其一���。
1、設(shè)置php.ini的cgi.fix_pathinfo為0�����,重啟php����。最方便����,但修改設(shè)置的影響需要自己評(píng)估。
2���、給nginx的vhost配置添加如下內(nèi)容�,重啟nginx�����。vhost較少的情況下也很方便����。
if ( $fastcgi_script_name ~ \..*\/.*php ) {
return 403;
} |
3�、禁止上傳目錄解釋PHP程序。不需要?jiǎng)觲ebserver���,如果vhost和服務(wù)器較多��,短期內(nèi)難度急劇上升����;建議在vhost和服務(wù)器較少的情況下采用�。
到此�,相信大家對(duì)“如何修補(bǔ)基于nginx+php組建的網(wǎng)站上傳圖片漏洞”有了更深的了解,不妨來(lái)實(shí)際操作一番吧��!這里是創(chuàng)新互聯(lián)網(wǎng)站�,更多相關(guān)內(nèi)容可以進(jìn)入相關(guān)頻道進(jìn)行查詢(xún)�,關(guān)注我們�����,繼續(xù)學(xué)習(xí)���!
新聞名稱(chēng):如何修補(bǔ)基于nginx+php組建的網(wǎng)站上傳圖片漏洞
分享路徑:
http://weahome.cn/article/pjieoj.html
重慶分公司
重慶分公司
