关于基于nginx+php组建的网站上传图片漏洞的修补方法

建站经验
来源：站三界导航
51阅读
2022-04-28

使用nginx+php组建的网站只要允许上传图片就可能被黑客入侵，直到5.21日凌晨，nginx尚未发布修复该漏洞的补丁;已经有一些网站被黑了，管理员速修复! 国内顶级安全团队80sec于5.20日下午6点发布了一个关于nginx的漏洞通告，由于该漏洞的存在，使用nginx+php组建的网站只要允许上传图片就可能被黑客入侵，直到5.21日凌晨，nginx尚未发布修复该漏洞的补丁;已经有一些网站被黑了，管理员速修复! 根据Netcraft的统计，直到2010年4月，全球一共有1300万台服务器运行着nginx程序;非常保守的估计，其中至少有600万台服务器运行着nginx并启用了php支持;继续保守的估计，其中有1/6，也就是100万台服务器允许用户上传图片。有图有真相。没错，重申一次，由于nginx有漏洞，这100万台服务器可能通过上传图片的方法被黑客轻易的植入木马。植入木马的过程也非常简单，就是把木马改成图片上传就是了，由于危害非常大，就不说细节了。说了那么多，我想大家对80sec这个顶级安全团队比较好奇吧，素包子简单介绍一下。 80sec团队由一群年轻、充满活力、充满体力、充满激情、富有创造力的未婚dota男组成，他们均在各大互联网公司从事信息安全工作，他们的口号是know it then hack it，素包子非常认同这个观点：“我们只要非常熟悉一个事物，就有可能客观的发现它的不足之处，同时我们也能的发现该事物的优点”。下面介绍一下他们的丰功伟绩，他们曾发现IIS、IE、FireFox、Maxthon、世界之窗、PHPWind、DeDeCMS、QQ mail、QuarkMail、EXTMail等软件的漏洞，可见硕果累累。既然介绍了80sec，就不得不介绍另外一个非常专注WEB安全的顶级安全团队80vul，该团队同样也是由80后的男童鞋组成(90后表示压力很大:p)，他们也发现了大量WEB APP的安全漏洞，例如IE、Gmail、wordpress、PHPWind、DISCUZ、MYBB等。据说黑客已经在行动了;安全人员、系统管理人员、行动起来吧，赶紧修复该漏洞;最好不要有侥幸心理，否则下一个被黑客入侵的可能就是你的网站。根据80sec安全公告的描述，临时修复方法如下，可3选其一。 1、设置php.ini的cgi.fix_pathinfo为0，重启php。最方便，但修改设置的影响需要自己评估。 2、给nginx的vhost配置添加如下内容，重启nginx。vhost较少的情况下也很方便。 if ( $fastcgi_script_name ~ \..*\/.*php ) { return 403; } 3、禁止上传目录解释PHP程序。不需要动webserver，如果vhost和服务器较多，短期内难度急剧上升;建议在vhost和服务器较少的情况下采用。本文结束

本文来自投稿，不代表站三界导航立场，如若转载，请注明出处：https://www.zhansanjie.com/article/details/3797.html

1、本文系转载，版权归原作者所有，旨在传递信息，不代表看本站的观点和立场。

2、本站仅提供信息发布平台，不承担相关法律责任。

3、若侵犯您的版权或隐私，请联系本站管理员删除。

4、本文由会员转载自互联网，如果您是文章原创作者，请联系本站注明您的版权信息。

上一篇：解读购买或者代购Dreamhost主机过程中的三大误区

下一篇：新建网站从设计到推广的流程小结