漏洞详情
| 危险评级 |
| FastCGI解析漏洞 | WebServer Fastcgi配置不当,会造成其他文件(例如css,js,jpg等静态文件)被当成php脚本解析执行。当用户将恶意脚本webshell改为静态文件上传到webserver传递给后端php解析执行后,会让攻击者获得服务器的操作权限 | 高 |
风险项
| GET | 6月10日 14:09 | 未恢复 | 至今 |
解决方案
配置webserver关闭cgi.fix_pathinfo为0 或者 配置webserver过滤特殊的php文件路径例如:
if ( $fastcgi_script_name ~ ..*/.*php ) {
return 403;
}
安全漏洞危害
被黑客入侵,引起 数据库泄露网站被篡改等
今日小记
今天百度云观测给我的小站报了警,说FastCGI解析漏洞,而且自己都把php都禁用了,纳闷怎么还报!不过既然百度云观测给出来办法就照做呗!安全第一!百度云观测给出两种解决办法,图简省,我用了第一种,不过好像以后用php有些功能可能有问题,所以转载在这里备个份,以后要用php的时候还得改过来!
相关推荐
要解决这个问题,只需将 cgi.fix_pathinfo 参数的值改为 1,这将允许 Nginx 正确地将请求传递给 PHP FastCGI 进程。 Nginx 配置文件的设置 在 Nginx 配置文件中,也需要进行相应的设置。需要在 location 块中添加...
cgi.fix_pathinfo = 1 cgi.force_redirect = 0 upload_tmp_dir =C:/php/temp extension_dir = "C:/php/temp" extension=php_bz2.dll extension=php_curl.dll extension=php_gd2.dll extension=...
LoadModule fastcgi_module modules/mod_fastcgi.so <IfModule fastcgi_module> AddHandler fastcgi-script .fcgi # you can put whatever extension you want FastCgiIpcDir /tmp FastCgiServer /home/m/Dev/...
Microsoft FastCGI Extension for IIS 5.1 and 6.0 然后让你的IIS6支持fastCGI即可... cgi.fix_pathinfo=1 cgi.force_redirect =0 cgi.rfc2616_headers=1 然后制作一个批处理文件,运行一下代码: c %wind
1. 在php.ini文件中添加cgi.fix_pathinfo=1和doc_root配置项。 2. 在Nginx配置文件中添加fastcgi_param SCRIPT_FILENAME配置项,例如: ``` location ~ .php$ { fastcgi_pass 127.0.0.1:9000; fastcgi_index ...
漏洞描述: Nginx默认是以CGI的方式支持PHP解析的,普遍的做法是在Nginx配置文件中通过正则...如果PHP中开启了fix_pathinfo这个选项,PHP会认为SCRIPT_FILENAME是phpinfo.jpg,而1.php是PATH_INFO,所以就会将phpinf
测试平台:Windows 2008 R2 x64 (IIS7.5 FastCGI,Apache2.2.23,Apache2.4.3, Nginx 1.2.9) 包含 Non Thread Safe 和 Thread Safe 如果用的是 FastCGI 请使用 Non Thread Safe 版 php_opcache.dll 的使用方法 ...
1.修改lighttpd.conf 修改为自己的工作目录 var.server_root = "/home/caoft/lighttpd/lighttpd_websocket_fastcgi/http_server" var.state_dir = "/home/caoft/lighttpd/lighttpd_websocket_...四个不同的cgi程序
服务器大量php-cgi.exe进程,导致CPU占用100%的解决[定义].pdf
nginx-1.14.0.zip
fastcgi2.4.6的补丁文件,fastcgi2.4.6在Linux系统中直接解压安装会出现make: *** [mod_fastcgi.slo] 错误 1 这个问题,需要给fcgi.h这个文件打补丁才能正常安装
CGI/FastCGI. ; http://php.net/ini.sections ; Directives are specified using the following syntax: ; directive = value ; Directive names are *case sensitive* - foo=bar is different from FOO=bar. ; ...
11. fastcgi_:fastcgi 配置项,用于控制 FastCGI applications。 12. gzip:启用 gzip 压缩,减少网络传输数据量。 实践应用 Nginx 配置文件可以应用于各种场景,例如: * Web 服务器 * Proxy 服务器 * 负载...
Debian+Nginx+PHP(FastCGI)+MySQL搭建LNMP服务器
3. 需要下载安装 Microsoft FastCGI Extension for IIS 5.1 and 6.0,并配置 fcigext.ini 文件。 4. 需要配置 FastCGI 扩展与 PHP 协同工作,右击“网站”选择“属性”,单击“主目录”选项,点击“配置”按钮,单击...
LoadModule fastcgi_module modules/mod_fastcgi.so <IfModule fastcgi_module> AddHandler fastcgi-script .fcgi # you can put whatever extension you want FastCgiIpcDir /tmp FastCgiServer /home/m/Dev/...
前言 大家都知道PHP-FPM内置了状态页,开启后可查看PHP-FPM的详细运行状态,给PHP-FPM优化带来帮助。 ... pm.status_path = /phpfpm_status 配置nginx.conf,添加可访问server ... fastcgi_pass 127.0.0.1:... fastcgi_pa
节点fastcgi 该模块是节点标准HTTP模块(仅服务器)的直接替代。 使用FastCGI无需更改为http服务器编写的代码即可正常工作。 它可用于构建FastCGI应用程序或将现有的节点应用程序转换为FastCGI。 该实现完全符合。...
经过志文工作室测试有效的相关配置主要内容如下: 代码如下:location ~ \.php(.*)$ { fastcgi_pass unix:/tmp/php-cgi.sock;... fastcgi_param PATH_INFO $fastcgi_path_info; fastcgi_param PATH_