存档

文章标签 ‘安全’

nginx+cgi解析php容易出现的漏洞

2012年10月24日 1 条评论

标题有点大,当我们仔细分析后,实际上一般都是配置问题。 如果有人想攻击服务器时,都会扫描机器哪里有漏洞可以上传恶意脚本文件,上传脚本是第一步, 当恶意的php脚本被上传到服务器时(其后缀可能是php,也可能伪装如jpg等其它后缀), 如果该脚本能被解析执行,那想攻击者就可以为所欲为了。 那从源头上来避免这个问题可以从如下两方面入手: 1.上传前就应该判断文件不能是php脚本文件,如果是不能允许其上传(包括伪装后缀的)。 2.上传后就应该把上传的附件文件单独放在一个服务器,该机器只做静态解析,就没什么问题了。 第一条需...

分类: nginx 标签: ,