LNMP 配置漏洞系列解读

最新推荐文章于 2024-04-07 12:23:21 发布
最新推荐文章于 2024-04-07 12:23:21 发布
阅读量2.8k 收藏
点赞数
分类专栏: Web develop 文章标签: LNMP配置漏洞 Nginx环境配置 Linux web 配置文件
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tham_/article/details/41896315
版权

Nginx+PHP 配置漏洞:静态文件都可以当作 PHP 解析

漏洞危险等级:毁灭性。
这个漏洞严格上说并不是 Nginx 和 PHP 本身的漏洞造成的,而是由配置造成的。在我之前写的许多配置中,都普遍存在这个漏洞。
简易检测方法:
打开 Nginx + PHP 服务器上的任意一张图片,如:
如果在图片链接后加一串 /xxx.php (xxx为任意字符)后,如:
图片还能访问的话,说明你的配置存在漏洞。
漏洞分析:
下面通过分析一个很常见的 Nginx 配置来解释下漏洞的成因:
server {
    listen       80;
    server_name  test.local;
    access_log  /work/www/logs/test.access.log  main;
    error_log  /work/www/logs/test.error.log;

    location / {
        root   /work/www/test;
        index  index.html index.htm index.php;
    }

    location ~ \.php$ {
        root           /work/www/test;
        fastcgi_index  index.php;
        fastcgi_param  SCRIPT_FILENAME    $document_root$fastcgi_script_name;
        include        fastcgi_params;
        fastcgi_pass   unix:/t

最低0.47元/天 解锁文章
tham_
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
浅谈Nginx(或LNMP)、Apache(或LAMP)、Tomcat版本信息泄露危险和修复方法
满天点点星辰的博客
04-07 3771
在使用Nginx(或lnmp)做反向代理、集群或是做跨域配置、Apache(或lamp)和Tomcat做为应用端使用时,其相关版本号和软件名称信息泄露,此时攻击者会利用相应软件版本的当前漏洞,进行有效的相应攻击。
一款LNMP架构Web应用的漏洞复现
求大佬师傅带
08-10 240
FILTER_VALIDATE_EMAIL、NginxHost限制绕过
【设计思想解读开源框架,php探针存在xss漏洞,面试资料分享
最新发布
weixin_57485542的博客
04-07 386
学好 Python 不论是就业还是做副业赚钱都不错,但要学会 Python 还是要有一个学习规划。最后大家分享一份全套的 Python 学习资料,给那些想学习 Python 的小伙伴们一点帮助!
LNMP架构下的漏洞详解
weixin_54347738的博客
09-17 280
可能会遇到密码总是无法修改成功的情况:①首先打开 vim /etc/my.cnf做如下修改:增添了新的一行②重启数据库服务,输入service mysqld restart③使用sql语句来修改密码直接在终端输入mysql,然后输入sql语句并执行④输入mysql -uroot -p,然后输入你设置的密码就可以成功登录⑤数据库的配置
为什么要做漏洞扫描呢?
华为云官方博客
11-27 1678
摘要:本文介绍做漏洞扫描的内外部驱动力。
lnmp怎么升级php,lnmp升级php修复PHP最新漏洞
weixin_42510460的博客
03-26 300
lnmp论坛里面军哥给出的php 5.2 修改phpwget http://soft.vpser.net/web/php/bug/php-5.2-multipart-form-data.patchpatch -p1 < php-5.2-multipart-form-data.patchphp 5.3查找cd php-$php_version/ 应该是198行,下面添加wget http:/...
nginx漏洞利用
cnbird's blog
11-20 1727
http://habrahabr.ru/post/202796/?utm_source=twitterfeed&utm_medium=twitter
lnmp一键安装的缺点???
weixin_30407099的博客
11-14 298
  自己尝试几次在新的服务器上安装lnmp环境,每次都是一键安装,然后在/home/wwwroot/default目录下放对应的PHP文件就Ok了,很方便。其实也尝试过用命令行,就是很多命令的那种安装,中途失败了,至今不知道这两者的区别在哪里 转载于:https://www.cnblogs.com/ningqing2015/p/9957279.html...
关于php探针弱口令
Kind&红衣的博客
07-07 1347
昨晚某圈子一个基佬说拿到数据库但动不了,然后我手起刀落- -也没弄好,一句话木马可以写入,但一加上绝对路径就不行了。爆#1 ... sql错误但是不加上绝对路径或者使用tmp/shell.php 路径就可以这是啥原因呢老哥们他那服务器用的lnmp一键装的欢迎写下评论看法...
lnmp架构下PHP安全配置
Tzhennan的博客
04-10 393
1. 使用open_basedir限制虚拟主机跨目录访问(限制php在指定的目录里活动)   2. 禁用不安全PHP函数 disable_functions = show_source,system,shell_exec,passthru,exec,popen,proc_open,proc_get_status,phpinfo   3. php 用户只读 例如站点 www.share...
URL Rewrite Rule重写规则
热门推荐
Tham 在思索中前行!
05-14 1万+
php 伪静态(url重写)的写法 PHP 伪静态,也称作php URL重写,无论是出于seo优化的考虑,还是想让url更美观,都是现在非常流行的方法,建议大家学习参考下。 来看下面这个网页 url: http://www.jbxue.com/test.php/1,100,8630.html 其实处理的脚本是test.php 参数为1,100,8630 相当于test.php?a=1&b=1=100&c=8630 只不过这样的URL太难记。搜索引擎也不喜欢。 真静态只是完全生成了HTML。 客户端访问的时
php面向对象类中的$this,static,final,const,self及双冒号 :: 这几个关键字使用方法。
Tham 在思索中前行!
12-20 7378
php中this,self,parent三个关键字的作用 this,self,parent三个关键字之间的区别,从字面上比较好理解,分别是指这、自己、父亲。我们先建立几个概念,这三个关键字分别是用在什么 地方呢?我们初步解释一下,this是指向当前对象的指针(姑且用C里面的指针来看吧),self是指向当前类的指针,parent是指向父类的指针。我 们这里频繁使用指针来描述,可能是因为没有更好的语言来表达。
初学者PHPer的建议,(接触php两年了,一直没什么成长)
Tham 在思索中前行!
01-07 4887
献给php初学者(入门学习经验谈) 1.概要:学习任何语言都需要 多看 多想 多写 多问!!写编程是一种熟能生巧的东西!因为知识就那么多,你看多了就会觉得怎么都一样。  程序员就是炒冷饭的,一遍又一遍。代码多敲几遍就可以闭着眼睛写了,所以企业招聘都会问你写过多少行代码的!!程序员最忌讳浮躁,有时候发现一段程序完全找不出错误,仅仅是因为少了或多了一个符号,程序员需要的是细心,粗心的人当不了
版本控制——Git 使用笔记,以及Windows搭建Git服务器
Tham 在思索中前行!
04-16 3591
Git和Github的关系 链接:http://www.zhihu.com/question/21907548/answer/95284202 来源:知乎 Git是一款免费、开源的分布式版本控制系统 Github是用Git做版本控制的代码托管平台 &lt;img src="https://pic3.zhimg.com/d88e52fc7942ef9a94cc
hexo搭建Gitcafe博客(专栏)
Tham 在思索中前行!
04-15 1776
(专栏连接,hexo传送门) hexo搭建博客(一): hexo简介 为什么要自己搭建博客 独立逼格高 博客架构 hexo + GitCafe Pages + Markdown hexo hexo是一个基于Node.js的静态博客程序,可以方便的生成静态网页托管在github和gitcafe上。 GitCafe Pages Pages服务简单来说是通过在GitCafe
优秀PHP程序员应具备的5大能力
Tham 在思索中前行!
01-07 938
优秀PHP程序员应具备的5大能力
认识Hash 函数及其重要性
Tham 在思索中前行!
03-26 837
不时会爆出网站的服务器和数据库被盗取,考虑到这点,就要确保用户一些敏感数据(例如密码)的安全性。今天,我们要学的是 hash 背后的基础知识,以及如何用它来保护你的 web 应用的密码。
Web网页开发心得笔记
Tham 在思索中前行!
04-16 825
Div与span的区别 div与span都是用来定义文档中的节的 div与span主要用于应用样式表。 为块状容器,会使原有结构产生变化,元素所包含的内容都会另起一行,不会与其他元素在同一行。 而为行内容器,他的插入不会使原有结构产生任何变化除非为它提供属性为止,标识符允许将一个段落分成不同部分,元素包含的内容,在显示格式上没有任何变化,一个元素可以嵌套任意多个元素。
LNMP 配置具体过程
05-31
以下是配置LNMP的具体过程: 1. 安装Linux操作系统 如果你还没有安装Linux操作系统,可以选择CentOS或Ubuntu等流行的Linux发行版,然后按照官方文档进行安装。 2. 安装Nginx 在CentOS上,可以使用以下命令安装...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值