一个上传基于Nginx+PHP网站图片的缺陷修复方法
点评:Nginx + PHP的网站有一个严重的图片上传漏洞。这是由Nginx + PHP建网站就可以通过允许图片上传破解。直到5.21日清晨,nginx尚未发布补丁修复漏洞。有些网站被涂黑了,管理员很快就解决了。
国内顶尖的安全团队80sec在5.20下午6点发一个nginx的漏洞公告,由于该漏洞的存在,Nginx + PHP的使用建立网站,只要它允许你上传一张图片可以被黑客入侵,直到5.21日上午,nginx尚未公布修复漏洞的补丁;已经有一些网站被黑客攻击,快速维修经理!
根据Netcraft的统计,直到2010年4月,运行nginx程序1300万服务器全球总;一个非常保守的估计,至少有600万台服务器运行Nginx和PHP支持;保守估计,其中1 / 6,这是100万服务器允许用户上传图片,图片有一种真相。
是的,重申100万服务器可以很容易地植入木马的黑客通过上传图片因为一个nginx的漏洞,植入木马的过程也非常简单。它是将特洛伊木马转变成图片并上传它。因为危害很大,所以不说细节。
这么多,我想你是对80sec顶级安全团队好奇。普通小圆面包是一个简单的介绍。
的80sec团队由一批年轻,精力充沛,充满活力,富有的未婚男性守卫遗迹的激情和创造力,他们在互联网公司主要从事信息安全,他们的口号是知道然后破解,素食饺子这个观点非常赞同:只要我们有一件事情很熟悉,它是可能的目的找到它的缺点,我们可以找到对的优势的东西;。
下面是一些他们的丰功伟绩才发现IIS,伊江、傲游、火狐、PHPWind、DEDECMS、世界之窗、QQ、邮件、quarkmail,extmail等软件的漏洞,可见水果。
由于该80sec介绍,要介绍另一个非常集中的网络安全上80vul安全团队,团队也由男性鞋(80 90表示压力很大:P),他们还发现了大量的安全漏洞的Web应用程序,如伊江、Gmail、WordPress、PHPWind、Discuz mybb等。
这是说,黑客已经在行动;安全人员、系统管理人员,行动起来,很快这一缺陷修复,最好不要有侥幸心理,否则下一个可能是黑客入侵你的网站,根据该80sec安全公告描述,临时修复方法如下,可以选择3。
1、设置php.ini的cgi.fix_pathinfo是0,和PHP启动。它是最方便的,但修改设置的影响需要评估自己。
2,添加以下内容到nginx的虚拟主机配置并重新启动nginx,也方便Vhost当少。
如果($ fastcgi_script_name ~ .. * / * PHP){
返回403;
}
3、禁止上传目录解释PHP程序。服务器不需要移动。如果Vhost和服务器更多的短期急剧增加的难度;这是推荐使用较少的虚拟主机和服务器的情况下。