漏洞详情
| 概述 | 详情 | 危险评级 |
| FastCGI解析漏洞 | WebServer Fastcgi配置不当,会造成其他文件(例如css,js,jpg等静态文件)被当成php脚本解析执行。当用户将恶意脚本webshell改为静态文件上传到webserver传递给后端php解析执行后,会让攻击者获得服务器的操作权限 | 高 |
风险项
| 漏洞地址(URL) | 参数 | 请求方法 | 发现时间 | 恢复时间 | 持续时间 |
|---|---|---|---|---|---|
| http://www.xxx.com/ | GET | 6月10日 14:09 | 未恢复 | 至今 |
解决方案
配置webserver关闭cgi.fix_pathinfo为0 或者 配置webserver过滤特殊的php文件路径例如:
if ( $fastcgi_script_name ~ ..*/.*php ) {
return 403;
}
安全漏洞危害
被黑客入侵,引起 数据库泄露网站被篡改等
今日小记
今天百度云观测给我的小站报了警,说FastCGI解析漏洞,而且自己都把php都禁用了,纳闷怎么还报!不过既然百度云观测给出来办法就照做呗!安全第一!百度云观测给出两种解决办法,图简省,我用了第一种,不过好像以后用php有些功能可能有问题,所以转载在这里备个份,以后要用php的时候还得改过来!
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
