nginx 漏洞

      最近忙,很久都没来写博客了,nginx爆文件类型漏洞,我是直接受害者,5月20号提出的,我24号直到受害才知道。对这方面的关注与敏感度不够!大家可能对这个漏洞都是很熟悉了的。但我还是详细的说明一下的。

nginx默认以cgi的方式支持php的运行,譬如在配置文件当中可以以

location ~ /.php$ {
root html;
fastcgi_pass 127.0.0.1:9000;
fastcgi_index index.php;
fastcgi_param SCRIPT_FILENAME /scripts$fastcgi_script_name;
include fastcgi_params;
}
的方式支持对php的解析。

黑客可以把马伪装成功图片类型文件上传,然后输入/scripts/80sec.jpg/80sec.php,就会绕过,直接以php进行解析。漏洞很可怕。

也祸害了很多服务器,本人也是受害着,捉了三天的马。

     解决方法很多大牛都给了,主要有三种,不知道的人可以去百度里google一下。另外我想提供一种检测文件是不是图片的新方法。方法就是把图片当成文件打开,然后去读图片的内容,检测其内容是不是图片。思路很简单,大家可以试试。这种方法可以杜绝 很多上传的漏洞。

你可能感兴趣的:(网络安全)