如何修补基于nginx + php组建的网站上传图片漏洞 - 行业资讯

　　介绍

本篇内容主要讲解”如何修补基于nginx + php组建的网站上传图片漏洞”,感兴趣的朋友不妨来看看。本文介绍的方法操作简单快捷,实用性强。下面就让小编来带大家学习”如何修补基于nginx + php组建的网站上传图片漏洞”吧!

　　使用nginx + php组建的网站只要允许上传图片就可能被黑客入侵,直到5.21日凌晨,nginx尚未发布修复该漏洞的补丁;已经有一些网站被黑了,管理员速修复!

国内顶级安全团队80秒于5.20日下午6点发布了一个关于nginx的漏洞通告,由于该漏洞的存在,使用nginx + php组建的网站只要允许上传图片就可能被黑客入侵,直到5.21日凌晨,nginx尚未发布修复该漏洞的补丁;已经有一些网站被黑了,管理员速修复!

根据Netcraft的统计,直到2010年4月,全球一共万有1300台服务器运行着nginx程序,非常保守的估计,其中至少万有600台服务器运行着nginx并启用了php支持,继续保守的估计,其中有1/6,也就100年是万台服务器允许用户上传图片。有图有真相。

$如何修补基于nginx + php组建的网站上传图片漏洞”>, 没错,重申一次,由于nginx有漏洞,这100年万台服务器可能通过上传图片的方法被黑客轻易的植入木马。植入木马的过程也非常简单,就是把木马改成图片上传就是了,由于危害非常大,就不说细节了。 说了那么多,我想大家对80秒这个顶级安全团队比较好奇吧,素包子简单介绍一下。 80秒团队由一群年轻,充满活力,充满体力,充满激情,富有创造力的未婚队伍男组成,他们均在各大互联网公司从事信息安全工作,他们的口号是知道然后破解它,素包子非常认同这个观点:“我们只要非常熟悉一个事物,就有可能客观的发现它的不足之处,同时我们也能的发现该事物的优点”。 下面介绍一下他们的丰功伟绩,他们曾发现IIS, IE, FireFox,傲游浏览器,世界之窗,PHPWind, DeDeCMS, QQ邮件,QuarkMail, EXTMail等软件的漏洞,可见硕果累累。 既然介绍了80秒,就不得不介绍另外一个非常专注网络安全的顶级安全团队80 vul,该团队同样也是由80后的男童鞋组成(90后表示压力很大:p),他们也发现了大量WEB应用程序的安全漏洞,例如IE, Gmail, wordpress, PHPWind,康盛创想,MYBB等。 据说黑客已经在行动了,安全人员,系统管理人员,行动起来吧,赶紧修复该漏洞;最好不要有侥幸心理,否则下一个被黑客入侵的可能就是你的网站。根据80秒安全公告的描述,临时修复方法如下,可3选其一。 1,设置php . ini的cgi。php fix_pathinfo为0,重启。最方便,但修改设置的影响需要自己评估。 2,给nginx的vhost配置添加如下内容,重启nginx.vhost较少的情况下也很方便。 如果fastcgi_script_name ~ \ . . * \/美元。* php) { 返回403; } 3,禁止上传目录解释php程序。不需要动网络服务器,如果vhost和服务器较多,短期内难度急剧上升,建议在vhost和服务器较少的情况下采用。 <p class=$ 到此,相信大家对“如何修补基于nginx + php组建的网站上传图片漏洞”有了更深的了解,不妨来实际操作一番吧!这里是网站,更多相关内容可以进入相关频道进行查询,关注我们,继续学习!