联系站长 会员登录
服务器安全,SQL防注入,网站防黑--活力安全网
当前位置: 主页 > 护卫神产品操作指南 > 护卫神·主机大师/Nginx大师/Apache大师,PHP文件类型错误解析漏

护卫神·主机大师/Nginx大师/Apache大师,PHP文件类型错误解析漏

更新时间:2018-06-23 11:41 来源:原创 责编:林千城 点击:联系作者
护卫神·主机大师/Nginx大师/Apache大师,PHP文件类型错误解析漏洞

漏洞大概情况如下:


Nginx+PHP的服务器中,如果PHP的配置里 cgi.fix_pathinfo=1 那么就会产生一个漏洞。这个配置默认是1的,设为0会导致很多MVC框架(如Thinkphp)都无法运行。这个漏洞就是比如localhost/img/1.jpg 是正常地访问一张图片,而 localhost/img/1.jpg/1.php 却会把这张图片作为PHP文件来执行!如下图,应该是404 NotFound 才对的,它却显示说是有语法错误。



这是PHP的一个小漏洞,而且这个参数默认是1,那护卫神·主打安全产品,为什么还任由这个漏洞存在呢?
答案是:如果关闭这个选项,那么有些网站程序无法正常运行,举例说明:

直接把php.ini中设置 cgi.fix_pathinfo = 0。
会导致PHP的超全局变量 $_SERVER['PHP_SELF']为空于是有些程序会出错(比如Discuz会拼接出错误图片头像路径)。


所以,如果您在遇到这个漏洞的时候,可以尝试设置:cgi.fix_pathinfo = 0,如果发现有问题,再改回来,寻求另外的封堵这个漏洞的办法。
(广告Tips:护卫神·入侵防护系统,可以防御此PHP文件类型错误解析漏洞。)
赞一个
(0)
0%
踩一下
(0)
0%