关于基于nginx+php组建的网站上传图片漏洞的修补方法
国内顶级安全团队80sec于5.20日下午6点发布了一个关于nginx的漏洞通告,由于该漏洞的存在,使用nginx+php组建的网站只要允许上传图片就可能被黑客入侵,直到5.21日凌晨,nginx尚未发布修复该漏洞的补丁;已经有一些网站被黑了,管理员速修复!
根据Netcraft的统计,直到2010年4月,全球一共有1300万台服务器运行着nginx程序;非常保守的估计,其中至少有600万台服务器运行着nginx并启用了php支持;继续保守的估计,其中有1/6,也就是100万台服务器允许用户上传图片。有图有真相。
没错,重申一次,由于nginx有漏洞,这100万台服务器可能通过上传图片的方法被黑客轻易的植入木马。植入木马的过程也非常简单,就是把木马改成图片上传就是了,由于危害非常大,就不说细节了。
说了那么多,我想大家对80sec这个顶级安全团队比较好奇吧,素包子简单介绍一下。
80sec团队由一群年轻、充满活力、充满体力、充满激情、富有创造力的未婚dota男组成,他们均在各大互联网公司从事信息安全工作,他们的口号是know it then hack it,素包子非常认同这个观点:“我们只要非常熟悉一个事物,就有可能客观的发现它的不足之处,同时我们也能的发现该事物的优点”。
下面介绍一下他们的丰功伟绩,他们曾发现IIS、IE、FireFox、Maxthon、世界之窗、PHPWind、DeDeCMS、QQ mail、QuarkMail、EXTMail等软件的漏洞,可见硕果累累。
既然介绍了80sec,就不得不介绍另外一个非常专注WEB安全的顶级安全团队80vul,该团队同样也是由80后的男童鞋组成(90后表示压力很大:p),他们也发现了大量WEB APP的安全漏洞,例如IE、Gmail、wordpress、PHPWind、DISCUZ、MYBB等。
据说黑客已经在行动了;安全人员、系统管理人员、行动起来吧,赶紧修复该漏洞;最好不要有侥幸心理,否则下一个被黑客入侵的可能就是你的网站。根据80sec安全公告的描述,临时修复方法如下,可3选其一。
1、设置php.ini的cgi.fix_pathinfo为0,重启php。最方便,但修改设置的影响需要自己评估。
2、给nginx的vhost配置添加如下内容,重启nginx。vhost较少的情况下也很方便。
if ( $fastcgi_script_name ~ \..*\/.*php ) {
return 403;
}
3、禁止上传目录解释PHP程序。不需要动webserver,如果vhost和服务器较多,短期内难度急剧上升;建议在vhost和服务器较少的情况下采用。
相关建站知识
- 08-16给帝国CMS的错误报告增加个分类功能
- 06-26帝国CMS灵动标签同日信息颜色相同(不同时间文章信息不同颜色)
- 01-11帝国CMS二次开发列表页中获取当前信息所属专题名称
- 08-05帝国cms打印模板的使用方法
- 05-25帝国CMS模板中信息反馈开启验证码
- 06-21让帝国cms7.5发送邮件支持465端口的方法
- 01-08帝国CMS模板内容页实现键盘翻页的方法
- 11-11phome_enewsmoreport端口表
- 03-30帝国CMS获取当前自定义列表的listid
- 03-23帝国cms列表页的内容简介samlltext字段怎么格式化html代码
- 12-28帝国下载内容页模板里调用下载扣除点数
- 02-27帝国CMS模板内容关键字加粗
- 03-07帝国CMS模板判断内容页没有图片时显示广告
- 09-11灵动标签判断索引加样式
- 12-10帝国CMS商品加入购物车时指定购买数量
- 04-18帝国cms添加自定义字段和引用
- 07-12phome_enewspic 数据表字段解释(图片信息表)
- 03-25[7.5+版] 帝国CMS缩略图函数改进(GD库改进)
- 10-28帝国cms7.5设置下载地址不跳转直接下载的调用方法是什么?
- 07-22解决帝国CMS官方结合项插件自定义字段不支持0和静态页classid为空