关于基于nginx+php组建的网站上传图片漏洞的修补方法
国内顶级安全团队80sec于5.20日下午6点发布了一个关于nginx的漏洞通告,由于该漏洞的存在,使用nginx+php组建的网站只要允许上传图片就可能被黑客入侵,直到5.21日凌晨,nginx尚未发布修复该漏洞的补丁;已经有一些网站被黑了,管理员速修复!
根据Netcraft的统计,直到2010年4月,全球一共有1300万台服务器运行着nginx程序;非常保守的估计,其中至少有600万台服务器运行着nginx并启用了php支持;继续保守的估计,其中有1/6,也就是100万台服务器允许用户上传图片。有图有真相。
没错,重申一次,由于nginx有漏洞,这100万台服务器可能通过上传图片的方法被黑客轻易的植入木马。植入木马的过程也非常简单,就是把木马改成图片上传就是了,由于危害非常大,就不说细节了。
说了那么多,我想大家对80sec这个顶级安全团队比较好奇吧,素包子简单介绍一下。
80sec团队由一群年轻、充满活力、充满体力、充满激情、富有创造力的未婚dota男组成,他们均在各大互联网公司从事信息安全工作,他们的口号是know it then hack it,素包子非常认同这个观点:“我们只要非常熟悉一个事物,就有可能客观的发现它的不足之处,同时我们也能的发现该事物的优点”。
下面介绍一下他们的丰功伟绩,他们曾发现IIS、IE、FireFox、Maxthon、世界之窗、PHPWind、DeDeCMS、QQ mail、QuarkMail、EXTMail等软件的漏洞,可见硕果累累。
既然介绍了80sec,就不得不介绍另外一个非常专注WEB安全的顶级安全团队80vul,该团队同样也是由80后的男童鞋组成(90后表示压力很大:p),他们也发现了大量WEB APP的安全漏洞,例如IE、Gmail、wordpress、PHPWind、DISCUZ、MYBB等。
据说黑客已经在行动了;安全人员、系统管理人员、行动起来吧,赶紧修复该漏洞;最好不要有侥幸心理,否则下一个被黑客入侵的可能就是你的网站。根据80sec安全公告的描述,临时修复方法如下,可3选其一。
1、设置php.ini的cgi.fix_pathinfo为0,重启php。最方便,但修改设置的影响需要自己评估。
2、给nginx的vhost配置添加如下内容,重启nginx。vhost较少的情况下也很方便。
if ( $fastcgi_script_name ~ \..*\/.*php ) { |
3、禁止上传目录解释PHP程序。不需要动webserver,如果vhost和服务器较多,短期内难度急剧上升;建议在vhost和服务器较少的情况下采用。
相关文章
- Cloudfront 是 Amazon 提供的 CDN 服务,有每月免费 1T 的流量,该流量不可累计,个人小站的话,这个 CDN 是足够用的了,而且主要是国内访问的速度还不错,但是需要注意不要2023-10-19
免费为你的网站加速,全球访问加速还可以防御ddos攻击的cloudflare
CDN加速通俗来讲就是把网站在全国各地的服务器上复制一份(即镜像服务器),用户在访问的时候,路由自动分配到最近的服务器,提升访问速度,大家在访问软件下载站的时候,经2023-10-09什么是AMP(加速移动页面)Web开发?AMP的好处以及它与响应式网页设计的
AMP技术是一项用于加速移动Web页面加载速度的技术,它通过限制页面的HTML、CSS和JavaScript的使用,从而提高页面加载速度和性能,下面我们将从以下几个方面对AMP技术进行拓展2023-10-09谷歌站长(Search Console)工具的注册安装及功能介绍
Google Search Console 是一项由 Google 提供的免费服务,可帮助您监控和维护您的网站在 Google 搜索结果中的展示情况以及排查问题,Search Console 可帮助您了解并改善 Go2023-05-13打开网站出现Internal Server Error的原因和解决方法
这篇文章主要介绍了打开网站出现Internal Server Error的原因和解决方法的相关资料,需要的朋友可以参考下,解决方法:登陆FTP或文件管理器,检查站点目录文件权限设置,将2022-01-08inxy:超低价“综合型”国外CDN提供商,专业POP节点覆盖亚洲\欧洲\美洲
inxy,这个2005年成立运作至今的商家不但提供11个机房的VPS、24个机房独立服务器,更重要的核心业务还有CDN,之所以要来推荐inxy的CDN是因为在性价比上面有着独到的优势2020-11-16- 大部分服务商(如阿里云,网易蜂巢,京东云等)的CDN服务是按使用量收费的,也有一些服务商提供免费的CDN服务,这篇文章主要介绍了分享盘点10个可免费使用的网站CDN加速服2020-08-17
INXY:运作全球26个国家和地区的 独立服务器、VPS、CDN业务,价格超便
INXY主要运作独立服务器、VPS、CDN、DNS四大类业务。inxy有自己的机房,也卖全球其他国家和地区的相关业务,可以说是一个超大型的reseller2019-09-29- 这篇文章主要介绍了新手干货之网站建设中常见的一些问题,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧2019-09-18
- 本篇文章主要介绍了手把手教搭建电影网站,今天我们就来搭建一个VIP电影网站,本文主旨在于,从基础的搭建一个简单的解析网站来引入一些思路,手把手什么的最贴心了。2019-08-22
最新评论