nginx 漏洞

最新推荐文章于 2024-08-12 15:09:02 发布
最新推荐文章于 2024-08-12 15:09:02 发布
阅读量1.7k 收藏
点赞数
分类专栏: 网络安全 文章标签: nginx php cgi google 服务器 百度
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tengzhaorong/article/details/5627988
版权

      最近忙,很久都没来写博客了,nginx爆文件类型漏洞,我是直接受害者,5月20号提出的,我24号直到受害才知道。对这方面的关注与敏感度不够!大家可能对这个漏洞都是很熟悉了的。但我还是详细的说明一下的。

nginx默认以cgi的方式支持php的运行,譬如在配置文件当中可以以

location ~ /.php$ {
root html;
fastcgi_pass 127.0.0.1:9000;
fastcgi_index index.php;
fastcgi_param SCRIPT_FILENAME /scripts$fastcgi_script_name;
include fastcgi_params;
}
的方式支持对php的解析。

黑客可以把马伪装成功图片类型文件上传,然后输入/scripts/80sec.jpg/80sec.php,就会绕过,直接以php进行解析。漏洞很可怕。

也祸害了很多服务器,本人也是受害着,捉了三天的马。

     解决方法很多大牛都给了,主要有三种,不知道的人可以去百度里google一下。另外我想提供一种检测文件是不是图片的新方法。方法就是把图片当成文件打开,然后去读图片的内容,检测其内容是不是图片。思路很简单,大家可以试试。这种方法可以杜绝 很多上传的漏洞。

亿光年
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
nginx漏洞
scu_hacker博客
01-18 6367
目录 一、目录遍历漏洞 二、CRLF注入漏洞 2.1 影响范围 2.2 漏洞详情 三、目录穿越漏洞 3.1 漏洞详情 一、目录遍历漏洞 原因:配置不当。 若将/usr/local/nginx/conf/nginx.conf里的autoindex off改为autoindex on,那么就可以直接访问到网站根目录下的所有文件, 然后在网站根目录下新建test文件夹,直接访问,可以访问到test文件 二、CRLF注入漏洞 2.1 影响范围 nginx + php5.2.
Nginx漏洞复现
weixin_58163202的博客
02-08 1129
nignx漏洞复现
nginx 安全漏洞 (CVE-2021-23017)
百花群争艳
01-22 1656
nginx 安全漏洞 (CVE-2021-23017),此漏洞受影响版本:0.6.18-1.20.0。linux安装了nginx-1.16.1.tar.gz 和pcre-8.35.tar.gz。升级nginx到版本nginx-1.24.0.tar.gz。kill -9 加进程ID。升级nginx版本。
文件上传(包括编辑器上传)漏洞绕过总结(适用于pte考试、ctf及常规测试、修复任意文件上传漏洞可做参考)
最新发布
zzz6583zz的博客
08-12 362
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
Nginx漏洞
weixin_64623293的博客
08-20 549
首先有Nginx环境。
nginx常见漏洞解析_nginx漏洞(2),2024年最新【一篇文章搞懂
2401_84181340的博客
04-10 3308
中间件漏洞可以说是最容易被web管理员忽视的漏洞,原因很简单,因为这并不是应用程序代码上存在的漏洞,而是属于一种应用部署环境的配置不当或者使用不当造成的。但是在开发使用过程中也不乏官方程序自身的一些安全问题。我们在处理应急响应事件时经常遇到这么一种情况,客户网站代码是外包的,也就是第三方公司负责开发,而部署可能是由客户内部运维人员负责。暂不说他们对于中间件安全的重视程度与了解程度,只谈发现漏洞后如何处理,便是一团乱。开发商推卸说这并不是代码上的问题,他们完全是按照安全开发流程(SDL)走的,所以跟他无关。
Nginx解析漏洞
qq_43665434的博客
05-20 535
Nginx解析漏洞 漏洞原理:传送门 实验环境 主机 角色 IP centos8 漏洞靶机 192.168.1.80 windows10 攻击机 192.168.1.120 实验流程 开启漏洞环境centos8 service docker start cd /usr/sbin/vulhub/nginx/nginx_parsing_vulnerability/ docker-compose build docker-compose up -d cat docker-compose
Nginx漏洞扫描器GUI版
08-20
**Nginx漏洞扫描器GUI版** Nginx是一款高性能的HTTP和反向代理服务器,广泛应用于互联网服务,因其高效稳定、低内存占用等特性深受开发者喜爱。然而,任何软件都可能存在安全漏洞Nginx也不例外。为了保障网络服务...
Nginx漏洞总结
m0_67391518的博客
08-02 7042
Nginx(enginex)是一个高性能的HTTP和反向代理web服务器,同时也提供了IMAP/POP3/SMTP服务。其将源代码以类BSD许可证的形式发布,因它的稳定性、丰富的功能集、简单的配置文件和低系统资源的消耗而闻名。2011年6月1日,nginx1.0.4发布。Nginx是一款轻量级的Web服务器/反向代理服务器及电子邮件(IMAP/POP3)代理服务器,在BSD-like协议下发行。...
nginx常见漏洞解析_nginx漏洞
2401_83947255的博客
04-12 1212
0×1HTTP返回包头:就是httpresponsHTTP返回包体:就是请求的具体文件,例如出来个网页资源,网页内嵌套的内容等等。自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。
nginx1.4.0漏洞验证
06-21
测试用到的python文件和linux版本的nginx1.4.0源码
Nginx解析漏洞测试
09-19
Nginx是一款高性能的web服务器,使用非常广泛,其不仅经常被用作反向代理,也可以非常好的支持PHP的运行。默认情况下可能导致服务器错误的将任何类型的文件以PHP的方式进行解析,这将导致严重的安全问题,使得恶意的攻击者可能攻陷支持phpnginx服务器
Nginx 解析漏洞
weixin_45715461的博客
05-30 504
Nginx 解析漏洞
CVE-2013-4547 Nginx 文件名逻辑漏洞
weixin_45715461的博客
05-30 896
CVE-2013-4547 Nginx 文件名逻辑漏洞
NGINX漏洞 整理记录
04-06 5867
简单介绍NGINX: Nginx是一款轻量级的Web服务器/反向代理服务器及电子邮件(IMAP/POP3)代理服务器,在BSD-like 协议下发行。 其特点是占有内存少,并发能力强,nginx的并发能力在同类型的网页服务器中表现较好。主要应用在百度,淘宝等高并发请求情形。 漏洞: 1.NGINX解析漏洞 (1)Nginx文件名逻辑漏洞(CVE-2013-4547) 影响版本:Nginx0.8.41~1.4.3 / 1.5.0~1.5.7 漏洞原理:主要原因是nginx错误的..
linux nginx漏洞修复,nginx-1.14.1 和 nginx-1.15.6 发布,修复HTTP/2和MP4模块中的漏洞
weixin_39854369的博客
05-15 711
nginx-1.14.1 稳定版和nginx-1.15.6主线版本已经发布,修复了HTTP/2(CVE-2018-16843,CVE-2018-16844)和MP4模块(CVE-2018-16845)中的漏洞nginx 1.14.1更改*)安全性:使用HTTP/2时,客户端可能会导致过多的内存消耗(CVE-2018-16843)和CPU使用率(CVE-2018-16844)。*)安全性:使用ng...
nginx1.18.0漏洞
12-16
Nginx 1.18.0是一个非常受欢迎的Web服务器软件,但它也存在一些漏洞和安全问题。具体来说,Nginx 1.18.0在某些版本中存在一个已知的漏洞,该漏洞允许恶意攻击者利用一个特定的恶意请求来绕过访问控制,并可能引发...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值