Baru-baru ini, beberapa pembangun laman web telah menemui masalah - dalam tapak web yang dibangunkan menggunakan rangka kerja TP5, langkah perlindungan untuk menyembunyikan fail dalam tp5index.php telah gagal. Dalam artikel ini, kami akan meneroka sebab di sebalik isu ini dan cara membetulkan kerentanan ini.
Pertama, kita perlu faham apa itu tp5index.php. tp5index.php ialah fail kemasukan lalai bagi rangka kerja TP5 Fail ini boleh diakses terus ke direktori akar tapak web melalui URL tanpa sebarang pemprosesan. Ini membawa kemudahan yang besar kepada penggodam Jika fail itu wujud, direktori akar tapak web boleh didapati dengan mudah melalui fail ini, yang membolehkan untuk melancarkan serangan berikutnya.
Untuk mengelakkan serangan seperti ini, pembangun TP5 datang dengan cara untuk menyembunyikan fail tp5index.php. Operasi khusus adalah seperti berikut:
1 Salin fail tp5index.php dan namakan semula index.php
2. Tambahkan kod berikut pada fail index.php yang baru disalin:
<?php
//定义变量以便于跳转时识别
define('APP_DEBUG', false);
define('APP_PATH', './application/');
//隐藏tp5index.php
define('BUILD_DIR_SECURE', true);
// 加载框架引导文件
require __DIR__ . '/../thinkphp/start.php';3 Padamkan fail tp5index.php asal
Dengan cara ini, penggodam tidak akan dapat mengakses fail tp5index.php melalui URL, dan tidak akan dapat mendapatkan direktori akar laluan laman web, yang akan mengurangkan keselamatan laman web mendapat meningkat.
Namun, baru-baru ini, beberapa pembangun mendapati bahawa walaupun tp5index.php disembunyikan, penggodam masih boleh mengakses fail tp5index.php yang tersembunyi melalui URL. kenapa ni?
Malah, masalah ini terletak pada konfigurasi Nginx akan memproses semua fail dengan .php sebagai akhiran secara lalai, jadi walaupun fail tp5index.php disembunyikan, ia akan dikenali dan diproses oleh Nginx. . Untuk menyelesaikan masalah ini, kita perlu menambah kod berikut pada fail konfigurasi Nginx:
location ~ .php$ {
if ($request_uri ~* "tp5index.php") {
return 404;
}
fastcgi_pass 127.0.0.1:9000;
fastcgi_index index.php;
fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
include fastcgi_params;
}Maksud kod di atas ialah: apabila URL yang diminta mengandungi tp5index.php, kembalikan terus status 404; jika tidak, ikuti proses pemprosesan PHP biasa.
Melalui operasi di atas, anda boleh membetulkan masalah kegagalan tersembunyi tp5index.php yang disebabkan oleh konfigurasi Nginx, dengan itu meningkatkan lagi keselamatan tapak web.
Ringkasnya, untuk tapak web, melindungi keselamatannya sendiri adalah penting. Mengenai masalah kegagalan tersembunyi tp5index.php, kami perlu menyelidiki lebih mendalam sifat masalah tersebut dan mencari penyelesaian yang paling sesuai untuk laman web kami, untuk melindungi data dan privasi pengguna.
Atas ialah kandungan terperinci tp5index.php kegagalan tersembunyi. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!
Alat AI Hot
Undresser.AI Undress
Apl berkuasa AI untuk mencipta foto bogel yang realistik
AI Clothes Remover
Alat AI dalam talian untuk mengeluarkan pakaian daripada foto.
Undress AI Tool
Gambar buka pakaian secara percuma
Clothoff.io
Penyingkiran pakaian AI
Video Face Swap
Tukar muka dalam mana-mana video dengan mudah menggunakan alat tukar muka AI percuma kami!
Artikel Panas
Alat panas
SecLists
SecLists ialah rakan penguji keselamatan muktamad. Ia ialah koleksi pelbagai jenis senarai yang kerap digunakan semasa penilaian keselamatan, semuanya di satu tempat. SecLists membantu menjadikan ujian keselamatan lebih cekap dan produktif dengan menyediakan semua senarai yang mungkin diperlukan oleh penguji keselamatan dengan mudah. Jenis senarai termasuk nama pengguna, kata laluan, URL, muatan kabur, corak data sensitif, cangkerang web dan banyak lagi. Penguji hanya boleh menarik repositori ini ke mesin ujian baharu dan dia akan mempunyai akses kepada setiap jenis senarai yang dia perlukan.
Muat turun versi mac editor Atom
Editor sumber terbuka yang paling popular
EditPlus versi Cina retak
Saiz kecil, penyerlahan sintaks, tidak menyokong fungsi gesaan kod
PhpStorm versi Mac
Alat pembangunan bersepadu PHP profesional terkini (2018.2.1).
DVWA
Damn Vulnerable Web App (DVWA) ialah aplikasi web PHP/MySQL yang sangat terdedah. Matlamat utamanya adalah untuk menjadi bantuan bagi profesional keselamatan untuk menguji kemahiran dan alatan mereka dalam persekitaran undang-undang, untuk membantu pembangun web lebih memahami proses mengamankan aplikasi web, dan untuk membantu guru/pelajar mengajar/belajar dalam persekitaran bilik darjah Aplikasi web keselamatan. Matlamat DVWA adalah untuk mempraktikkan beberapa kelemahan web yang paling biasa melalui antara muka yang mudah dan mudah, dengan pelbagai tahap kesukaran. Sila ambil perhatian bahawa perisian ini
