首页 最新文章网站安全正文

「实战笔记」本站FastCGI解析漏洞修复

  通过百度云观测发现本站存在fastcgi解析漏洞,该漏洞会造成其他文件(例如css,js,jpg等静态文件)被当成php脚本解析执行。当用户将恶意脚本WebShell改为静态文件上传到webserver传递给后端php解析执行后,会让攻击者获得服务器的操作权限。这主要是WebServer Fastcgi配置不当造成的。

  修复方案有两个,针对nginx用户,可以在配置文件中增加如下代码,然后重启nginx服务:

  if ( $fastcgi_script_name ~ ..*/.*php ) {

  return 403;

  }

  如果是windows server的IIS用户,可以修改php.ini文件,将cgi.fix_pathinfo置为0,如下图,然后重启iis服务

  blob.png

按方案二修改完配置文件重启后,单篇文章的访问出现如下错误,由于该地址是为了迎合搜索引擎而转换的伪静态地址,解除转换后页面访问正常,但会导致所有已经被搜索引擎收录的地址均无法访问,估计网站权重和收录量将大减,所以此方案行不通(我推断是伪静态转换插件的兼容问题)

blob.png

方案三是针对IIS服务的处理程序映射组件做一下配置,步骤如下:

blob.png

blob.png

blob.png


评论

精彩评论
觉得有用就打赏吧
关注本站公众号,享受更多服务!
联系方式
QQ:########
地址:中国·辽宁
Email:2727987445#qq.com
Copyright ©2015-2023.Powered by 云水客 | 网站地图 | 辽ICP备14000512号-5