以 CGI 模式安装时

最新推荐文章于 2021-03-27 20:53:33 发布
最新推荐文章于 2021-03-27 20:53:33 发布
阅读量321 收藏
点赞数
分类专栏: php 文章标签: cgi php 服务器 脚本 apache user
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liuxinxiuxue/article/details/4128959
版权

章 24. 以 CGI 模式安装时

目录 可能受到的攻击 情形一:只运行公开的文件 情形二:使用 --enable-force-cgi-redirect 选项 情形三:设置 doc_root 或 user_dir 情形四: PHP 解释器放在 web 目录以外

可能受到的攻击

如果不想把 PHP 嵌入到服务器端软件(如 Apache)作为一个模块安装的话,可以选择以CGI的模式安装。或者把 PHP 用于不同的 CGI 封装以便为代码创建安全的 chroot 和 setuid 环境。这种安装方式通常会把 PHP 的可执行文件安装到 web 服务器的 cgi-bin 目录。CERT 建议书CA-96.11建议不要把任何的解释器放到 cgi-bin 目录。尽管 PHP 可以作为一个独立的解释器,但是它的设计使它可以防止下面类型的攻击:

 

  • 访问系统文件:http://my.host/cgi-bin/php?/etc/passwd

    URL 请求的问号(?)后面的信息会传给 CGI 接口作为命名行的参数。其它的解释器会在命令行中打开并执行第一个参数所指定的文件。

    但是,以 CGI 模式安装的 PHP 解释器被调用时,它会拒绝解释这些参数。

  • 访问服务器上的任意目录:http://my.host/cgi-bin/php/secret/doc.html

    好像上面这种情况,PHP 解释器所在目录后面的 URL 信息/secret/doc.html将会例行地传给CGI程序并进行解释。通常一些 web 服务器的会将它重定向到页面,如http://my.host/secret/script.php。如果是这样的话,某些服务器会先检查用户访问/secret目录的权限,然后才会创建http://my.host/cgi-bin/php/secret/script.php上的页面重定向。不幸的是,很多服务器并没有检查用户访问 /secret/script.php 的权限,只检查了/cgi-bin/php的权限,这样任何能访问/cgi-bin/php的用户就可以访问 web 目录下的任意文件了。

    在 PHP 里,编译时配置选项--enable-force-cgi-redirect以及运行时配置指令doc_rootuser_dir都可以为服务器上的文件和目录添加限制,用于防止这类攻击。下面将对各个选项的设置进行详细讲解。

情形一:只运行公开的文件

如果 web 服务器中所有内容都受到密码或 IP 地址的访问限制,就不需要设置这些选项。如果 web 服务器不支持重定向,或者 web 服务器不能和 PHP 通信而使访问请求变得更为安全,可以在 configure 脚本中指定--enable-force-cgi-redirect选项。除此之外,还要确认 PHP 程序不依赖其它方式调用,比如通过直接的http://my.host/cgi-bin/php/dir/script.php访问或通过重定向访问http://my.host/dir/script.php

在Apache中,重定向可以使用 AddHandler 和 Action 语句来设置,请看下一节。


情形二:使用 --enable-force-cgi-redirect 选项

此编译选项可以防止任何人通过如http://my.host/cgi-bin/php/secretdir/script.php这样的 URL 直接调用 PHP。PHP 在此模式下只会解析已经通过了 web 服务器的重定向规则的 URL。

通常 Apache 中的重定向设置可以通过以下指令完成:

Action php-script /cgi-bin/php
AddHandler php-script .php

此选项只在 Apache 下进行过测试,并且要依赖于 Apache 在重定向操作中所设置的非标准 CGI 环境变量REDIRECT_STATUS。如果 web 服务器不支持任何方式能够判断请求是直接的还是重定向的,就不能使用这个选项,而应该用其它方法。请看下一节。

 

情形三:设置 doc_root 或 user_dir

在 web 服务器的主文档目录中包含动态内容如脚本和可执行程序有时被认为是一种不安全的实践。如果因为配置上的错误而未能执行脚本而作为普通 HTML 文档显示,那就可能导致知识产权或密码资料的泄露。所以很多系统管理员都会专门设置一个只能通过 PHP CGI 来访问的目录,这样该目录中的内容只会被解析而不会原样显示出来。

对于前面所说无法判断是否重定向的情况,很有必要在主文档目录之外建立一个专用于脚本的 doc_root 目录。

可以通过配置文件内的doc_root或设置环境变量PHP_DOCUMENT_ROOT来定义 PHP 脚本主目录。如果设置了该项,那么 PHP 就只会解释doc_root目录下的文件,并确保目录外的脚本不会被 PHP 解释器执行(下面所说的user_dir除外)。

另一个可用的选项就是user_dir。当 user_dir 没有设置的时候,doc_root就是唯一能控制在哪里打开文件的选项。访问如http://my.host/~user/doc.php这个 URL 时,并不会打开用户主目录下文件,而只会执行 doc_root 目录下的~user/doc.php(这个子目录以 [~] 作开头)。

如果设置了 user_dir,例如public_php,那么像http://my.host/~user/doc.php这样的请求将会执行用户主目录下的public_php子目录下的doc.php文件。假设用户主目录的绝对路径是/home/user,那么被执行文件将会是/home/user/public_php/doc.php

user_dir的设置与doc_root无关,所以可以分别控制 PHP 脚本的主目录和用户目录。

 

情形四:PHP 解释器放在 web 目录以外

一个非常安全的做法就是把 PHP 解释器放在 web 目录外的地方,比如说/usr/local/bin。这样做唯一不便的地方就是必须在每一个包含 PHP 代码的文件的第一行加入如下语句:

 

#!/usr/local/bin/php

 

还要将这些文件的属性改成可执行。也就是说,要像处理用 Perl 或 sh 或其它任何脚本语言写的 CGI 脚本一样,使用以 #!开头的 shell-escape 机制来启动它们。

 

在这种情况下,要使 PHP 能正确处理PATH_INFOPATH_TRANSLATED等变量的话,在编译 PHP 解释器时必须加入--enable-discard-path参数。

 

 

文章来源:http://bbs.seuuo.com/html/60/n-1560.html

liuxinxiuxue
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CGI/FastCGl模式
m0_61349506的博客
10-30 428
CGI/FastCGl模式
PHP运行模式
张亮校的专栏
12-12 640
2012-03-26 10:43 1726人阅读 评论(2) 收藏 举报 目录(?)[-] PHP运行模式有4钟:cgi (Common Gateway Interface)fast-cgi模式 安装fastcgi模式: cli模式模块模式php 在nginx 中运行模式(nginx+PHP-FPM )总结: PHP运行模式有4钟: 1)
php cli和fastcgi,php的几种运行模式CLI、CGI、FastCGI、mod_php
weixin_30391353的博客
03-27 220
1、CLI:就是命令行,例如可以在控制台或者是shell中键入命令:php -f index.php然后获取输出2、CGI:以下是不同的说法与理解公共网关接口”(Common Gateway Interface),HTTP服务器 与你的或其它机器上的程序 进行 “交谈”的一种工具 ,其程序 须运行在网络 服务器 上。在服务器 环境中,为“程序 ”提供标准 的接口,通过这个接口,“程序 ”可以对服务...
网络编程---服务器编程中CGI模式的运行机制
IT_xiaoye的博客
06-16 519
CGI概括: 定义 通用网关接口(Common Gateway Interface)是HTTP服务器与你的或其它机器上的程序 进行“交谈”的一种工具,其程序须运行在网络服务器上。 功能 绝大多数的CGI程序被用来解释处理来自表单的输入信息,并在服务器产生相应的处理,或将相应的信息反馈给浏览器。CGI程序使 网页具有交互功能。 运行环境 CGI程序在...
apache下运行cgi模式的配置方法
09-15
主要介绍了apache下运行cgi模式的配置方法,需要的朋友可以参考下
cgi模式web服务器LiuGinx.zip
07-16
liugnix是一个 cgi模式 web服务器。 支持语言 因使用的为CGI 模式,支持所有cgi模式运行的程序。 php python go perl 如何运行 cd mywebsite liugnix_ENV liuginx --help...
Windows 配置Apache以便在浏览器中运行Python script的CGI模式
01-20
后来发现了一篇文章Running Python as CGI in Apache in Windows ,讲述以CGI模式代替mod_python来运行python script。还有这篇Python for Windows 。 做法是: 打开httpd.conf,找到”#ScriptInterpreterSource ...
CGI手册RFC3875.pdf
07-22
CGI官方手册RFC_3875,是学习CGI的必备资料。
我所了解的cgi
认知 行动 坚持
09-29 8325
转载地址:http://www.cnblogs.com/liuzhang/p/3929198.html                   最早的Web服务器简单地响应浏览器发来的HTTP求,并将存储在服务器上的HTML文件返回给浏览器,也就是静态html。事物总是不断发展,网站也越来越复杂,所以出现动态技术。但是服务器并不能直接运行 php,asp这样的文件,自己不能做,外包给
安卓php_cgi,带你认识PHP运行模式
weixin_39946239的博客
03-11 56
原标题:带你认识PHP运行模式带你认识PHP运行模式PHP有五种运行模式,常见的有4种:1.CGI(通用网关接口/ Common Gateway Interface)2.FastCGI(常驻型CGI / Long-Live CGI)3.CLI(命令行运行 / Command Line Interface)4.LoadModule【Apache独有】5.ISAPI(Internet Server A...
phpcgi的设置,apache中配置php支持模块模式cgi模式和fastcgi模式
weixin_42309293的博客
03-12 696
首先安装apache、mysql和php,依次顺序安装。1.apache、mysql的安装比较简单,略过2. php安装,我安装的是php5.3.6内置了php-fpm,所以不需要再单独下补丁了。./configure –prefix=/usr/local/php5 / --with-mysql=/usr/local/mysql / --enable-fpm --with-apxs2=/...
phpapache中三种工作方式:CGI模式、FastCGI模式Apache 模块DLL 的区别
王腾涛
07-11 5104
一、 phpapache中一共有三种工作方式:CGI模式、FastCGI 、FastCGI是什么?  FastCGI是语言无关的、可伸缩架构的CGI开放扩展,其主要行 为是将CGI解释器进程保持在内存中并因此获得较高的性能。众所周知,CGI解释器的反复加载是CGI性能低下的主要原因,如果CGI解释器保持在内存中 并接受FastCGI进程管理器调度,则可以提供良好的性能、伸缩性、Fail-Over特
cgi模式运行php,phpCGI模式安装可能遇到的攻击及解决办法
weixin_28878185的博客
03-11 367
如果不想把 PHP 嵌入到服务器端软件(如 Apache)作为一个模块安装的话,可以选择以 CGI模式安装。或者把 PHP 用于不同的 CGI 封装以便为代码创建安全的 chroot 和 setuid 环境。这种安装方式通常会把 PHP 的可执行文件安装到 web 服务器cgi-bin 目录。尽管 PHP 可以作为一个独立的解释器,但是它的设计使它可以防止下面类型的攻击:访问系统文件:ht...
php安全系列----CGI方式安装
taotaobaobei的博客
11-16 1504
1. 可能受到的攻击  2. 情形一:只运行公开的文件  3. 情形二:使用 --enable-force-cgi-redirect 选项  4. 情形三:设置 doc_root 或 user_dir  5. 情形四:PHP 解释器放在 web 目录以外  如果不想把 PHP 嵌入到服务器端软件(如 Apache)作为一个模块安装的话,可以选择以 CGI模式安装
服务器CGI模式的运行机制
coder的博客
10-29 5933
PHPApache中有三种工作方式的区别:(1)CGI模式(2)Apache模块化(DLL)(3)fastCGI模式(4)CLI命令行模式 这里将详细介绍CGI
PHP CLI 模式详解
热门推荐
行人事,知天命
10-09 1万+
* php cli 模式  * cli : Command Line Interface(命令行接口)  * PHP 除了可以被Apache IIS服务器调用,还可以通过cli模式运行,因为php本质上还是C语言写的程序  * 以下是常用的php cli 命令  * 在控制台输入哦:     php -v 显示PHP 的版本        --ini 输出php.ini配置文件的信息
CGI、FastCGIPHP-FPM与Module模式
yyyiue的博客
10-25 1483
CGI最早的Web服务器简单地响应浏览器发来的HTTP求,并将存储在服务器上的HTML文件返回给浏览器,也就是静态html。事物总是不断发展,网站也越来越复杂,所以出现动态技术。但是服务器并不能直接运行 php文件,服务器自己不能做,外包给别人吧,但是要与第三方做个约定,我给你什么,然后你给我什么,就是我把求参数发送给你,然后我接收你的处理结果给客户端。那这个约定就是 Common Gatewa
*php-cgi如何使用php cli模式执行php文件)
西瓜的博客
03-03 9055
需求:如果使用浏览器,发邮件100万封邮件。这个候浏览器就不能动了要一直在发邮件这个页面打开着,因为你一切换页面发邮件这个任务就不会执行了。而且有什么异常出现任务挂了,可能会导致给某个用户发好几封。 Php的CLI模式的好处是,执行php程序,不需要浏览器,也不需要启动服务器 什么是Php的cli呢?? 相信下图大家都不陌生,只是不知道如何使用而已 win需要通过cmd来...
python中CGI接口如何编写
最新发布
05-31
# 启用CGI调试模式,可以在浏览器中输出错误信息 cgitb.enable() # 获取CGI参数 form = cgi.FieldStorage() name = form.getvalue('name') # 设置响应头和HTML页面 print("Content-Type: text/html") print() ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值