nginx+php搭建网站存在严重图片上传漏洞

2021-01-06 14:46:01 阅读（219） 评论（0）

使用nginx 只要允许上传图片，php建立的网站就可能被黑客入侵。直到5月21日凌晨，nginx才发布修复漏洞的补丁；有些网站被黑客攻击，管理员很快就会修复它们！5月20日下午6点，国内顶级安全团队80sec发布了nginx漏洞通知。由于漏洞的存在，使用nginx 只要允许上传图片，php建立的网站就可能被黑客入侵。直到5月21日凌晨，nginx才发布修复漏洞的补丁；有些网站被黑客攻击，管理员很快就会修复它们！据Netcraft统计，直到2010年4月，全球共有1300万台服务器运行nginx程序；据保守估计，至少有600万台服务器运行nginx并启用php支持；继续保守估计，其中1/6，即100万台服务器允许用户上传图片。有图有真相。是的，重申一下，由于nginx存在漏洞，这100万台服务器可能很容易被黑客通过上传图片植入木马。植入木马的过程也很简单，就是把木马换成图片上传，因为危害很大，就不说细节了。说了这么多，我想大家都很好奇80sec这个顶级安全团队。简单介绍一下素包子。80sec团队由一群年轻、精力充沛、体力充沛、充满激情和创造力的未婚dota男性组成。他们都在各大互联网公司从事信息安全工作。他们的口号是knowithenhackit。素食馒头非常同意这一观点：“只要我们对一件事非常熟悉，我们就可以客观地发现它的缺点，我们也可以发现它的优点。”。让我们介绍一下他们的伟大成就。他们发现IIS、IE、FireFox、Maxthon、世界之窗、PHPWind、DeDeCMS、QQmail、QuarkMail、EXTMail等软件的漏洞，可见硕果累累。既然介绍了80sec，就不得不介绍另一个非常专注于WEB安全的顶级安全团队80vul。这个团队也由80后的男鞋组成(90后说压力很大:p），他们还发现了大量的WEBAPP安全漏洞，如IEBAPP、Gmail、wordpress、PHPWind、DISCUZ、MYBB等。据说黑客已经在行动了；安全人员、系统管理人员、行动，迅速修复漏洞；最好不要冒险，否则下一个被黑客入侵的可能是你的网站。根据80sec安全公告的描述，临时修复方法如下，可选择其中一种。1、设置php.ini的cgi.fix_pathinfo为0，重启php。最方便，但修改设置的影响需要自行评估。2、将以下内容添加到nginx的vhost配置中，重启nginx。在vhost较少的情况下也很方便。 if($fastcgi_script_name~\..*\/.*php){return40303;} 3、PHP程序禁止上传目录解释。不需要移动webserver，如果vhost和服务器较多，短期内难度急剧上升；建议在vhost和服务器较少的情况下使用。

以上就是关于nginx+php搭建网站存在严重图片上传漏洞的相关介绍，更多nginx+php搭建网站存在严重图片上传漏洞相关内容可以咨询我们或者浏览页面上的推荐内容。我们将让你对nginx+php搭建网站存在严重图片上传漏洞有更深的了解和认识。

内容来源:网络，以上内容来源于网络，不代表本站观点，如有侵权，请联系删除。

上一条：自媒体营销小技巧：重视口口相传的口碑营销下一条：你知道为什么用户不喜欢你的网站吗？