在PHP中使用FastCGI解析漏洞及修复方案-php手册-PHP中文網

首頁

php教程

php手册

在PHP中使用FastCGI解析漏洞及修复方案

WBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWB

Jun 06, 2016 pm 07:37 PM

fastcgi漏洞

这篇文章主要介绍了在PHP中使用FastCGI解析漏洞及修复方案的相关资料,需要的朋友可以参考下

Nginx默认是以CGI的方式支持PHP解析的，普遍的做法是在Nginx配置文件中通过正则匹配设置SCRIPT_FILENAME。当访问这个URL时，$fastcgi_script_name会被设置为“phpinfo.jpg/1.php”，然后构造成SCRIPT_FILENAME传递给PHP CGI。如果PHP中开启了fix_pathinfo这个选项，PHP会认为SCRIPT_FILENAME是phpinfo.jpg，而1.php是PATH_INFO，所以就会将phpinfo.jpg作为PHP文件来解析了。

漏洞危害：

WebServer Fastcgi配置不当，会造成其他文件（例如css，js，jpg等静态文件）被当成php脚本解析执行。当用户将恶意脚本webshell改为静态文件上传到webserver传递给后端php解析执行后，会让攻击者获得服务器的操作权限。

修复方案：

（Nginx用户可以选择方案一或方案二，IIS用户请使用方案一）

方案一，修改php.ini文件，将cgi.fix_pathinfo的值设置为0。完成后请重启PHP和NGINX（IIS）。

方案二，在Nginx配置文件中添加以下代码：

复制代码代码如下:

　　if ( $fastcgi_script_name ~ \..*\/.*php ) {
　　return 403;
　　}

这行代码的意思是当匹配到类似test.jpg/a.php的URL时，将返回403错误代码。修改完成后请重启Nginx。

陳述

本文內容由網友自願投稿，版權歸原作者所有。本站不承擔相應的法律責任。如發現涉嫌抄襲或侵權的內容，請聯絡admin@php.cn

不到一分钟、不超过20步，任意绕过安全限制，成功越狱大型模型！而且不必知道模型内部细节——只需要两个黑盒模型互动，就能让AI全自动攻陷AI，说出危险内容。听说曾经红极一时的“奶奶漏洞”已经被修复了:如今，面对“侦探漏洞”、“冒险家漏洞”和“作家漏洞”，人工智能应该采取何种应对策略呢？一波猛攻下来，GPT-4也遭不住，直接说出要给供水系统投毒只要……这样那样。关键这只是宾夕法尼亚大学研究团队晒出的一小波漏洞，而用上他们最新开发的算法，AI可以自动生成各种攻击提示。研究人员表示，这种方法相比于现有的

如何解决PHP语言开发中常见的文件上传漏洞？Jun 10, 2023 am 11:10 AM

在Web应用程序的开发中，文件上传功能已经成为了基本的需求。这个功能允许用户向服务器上传自己的文件，然后在服务器上进行存储或处理。然而，这个功能也使得开发者更需要注意一个安全漏洞：文件上传漏洞。攻击者可以通过上传恶意文件来攻击服务器，从而导致服务器遭受不同程度的破坏。PHP语言作为广泛应用于Web开发中的语言之一，文件上传漏洞也是常见的安全问题之一。本文将介

Java中的缓冲区溢出漏洞及其危害Aug 09, 2023 pm 05:57 PM

Java中的缓冲区溢出漏洞及其危害缓冲区溢出是指当我们向一个缓冲区写入超过其容量的数据时，会导致数据溢出到其他内存区域。这种溢出行为常常被黑客利用，可以导致代码执行异常、系统崩溃等严重后果。本文将介绍Java中的缓冲区溢出漏洞及其危害，同时给出代码示例以帮助读者更好地理解。Java中广泛使用的缓冲区类有ByteBuffer、CharBuffer、ShortB

OpenAI DALL-E 3 模型存生成“不当内容”漏洞，一微软员工上报后反遭“封口令”Feb 04, 2024 pm 02:40 PM

2月2日消息，微软软件工程部门经理ShaneJones最近发现OpenAI旗下的DALL-E3模型存在漏洞，据称可以生成一系列不适宜内容。ShaneJones向公司上报了该漏洞，但却被要求保密。然而，他最终还是决定向外界披露了这个漏洞。▲图源ShaneJones对外披露的报告本站注意到，ShaneJones在去年12月通过独立研究发现OpenAI文字生成图片的DALL-E3模型存在一项漏洞。这个漏洞能够绕过AI护栏（AIGuardrail），导致生成一系列NSFW不当内容。这个发现引起了广泛关注

Nginx中的FastCGI怎么配置优化May 21, 2023 am 08:16 AM

fastcgi：fastcgi是从cgi发展改进而来的。传统cgi接口方式的主要缺点是性能很差，因为每次http服务器遇到动态程序时都需要重新启动脚本解析器来执行解析，然后结果被返回给http服务器。这在处理高并发访问时，几乎是不可用的。另外传统的cgi接口方式安全性也很差，现在已经很少被使用了。fastcgi接口方式采用c/s结构，可以将http服务器和脚本解析服务器分开，同时在脚本解析服务器上启动一个或者多个脚本解析守护进程。当http服务器每次遇到动态程序时，可以将其直接交付给fastcg

Java中的逗号运算符漏洞和防护措施Aug 10, 2023 pm 02:21 PM

Java中的逗号运算符漏洞和防护措施概述：在Java编程中，我们经常使用逗号运算符来同时执行多个操作。然而，有时候我们可能会忽略逗号运算符的一些潜在漏洞，这些漏洞可能导致意外的结果。本文将介绍Java中逗号运算符的漏洞，并提供相应的防护措施。逗号运算符的用法：逗号运算符在Java中的语法为expr1,expr2，可以说是一种序列运算符。它的作用是先计算ex