nginx+php服务器中的SCRIPT_FILENAME漏洞

最新推荐文章于 2023-08-06 18:14:40 发布

weixin_30515513

最新推荐文章于 2023-08-06 18:14:40 发布

阅读量391

点赞数 1

文章标签： php 运维前端 ViewUI

原文链接：http://www.cnblogs.com/agostop/archive/2012/08/28/2660591.html

版权

比较熟知的一个漏洞，貌似nginx代码上，至今没有进行修补。

location ~ \.php$ {
root html;
fastcgi_pass 127.0.0.1:9000;
fastcgi_index index.php;
fastcgi_param SCRIPT_FILENAME /scripts$fastcgi_script_name;
include fastcgi_params;
}

详细在http://www.80sec.com/nginx-securit.html

具体实验，可以在nginx的log中，打开debug，查看获得的SCRIPT_FILENAME名称。

解决方法：

设置php.ini文件中的cgi.fix_pathinfo参数为0

或者
在nginx代码中加入： if ( $fastcgi_script_name ~ \..*\/.*php ) { return 403; }

转载于:https://www.cnblogs.com/agostop/archive/2012/08/28/2660591.html

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

weixin_30515513

关注关注

1
点赞
踩
1

收藏

觉得还不错? 一键收藏
0
评论
复制链接

分享到 QQ

分享到新浪微博

扫一扫

配置Nginx+PHP的正确思路与过程

10-22

在配置Nginx+PHP的实践中，理解配置文件的结构和指令的作用至关重要。Nginx的配置文件通常是按层次结构组织的，主要分为http、server、location等多个块。在这个层次结构中，外层定义的指令默认会被内层的块继承，...

nginx的fix_pathinfo漏洞

tpl_01

03-17

2340

现在普遍的Nginx + PHP cgi的做法是在配置文件中,　通过正则匹配(Nginx(PHP/fastcgi)的PATH_INFO问题)设置SCRIPT_FILENAME, 今天小顿发现了一个这种方式的安全漏洞. 比如, 有http://www.laruence.com/fake.jpg, 那么通过构造如下的URL, 就可以看到fake.jpg的二进制内容: http://www.lar

参与评论您还未登录，请先登录后发表或查看评论

在Nginx的nginx.conf 配置访问PHP&遇到的问题+解决

最新发布

m0_52985087的博客

08-06

2633

首先你需要先安装Nginx和PHP，如果你不会安装Nginx和PHP可以在网上找，或者在我的文章里面找。安装完成之后，开启Nginx的端口号，还必须验证是否成功，如果成功之后，你就可以继续后面的步骤，在Nginx中配置PHP。

请求php网页的过程示意图,php网站打开访问慢，排查过程案例！

weixin_32244597的博客

03-10

810

问题描述：客户反馈昨天网站访问还是正常的，今天访问特别慢，环境源码什么都没动过请求需要1分钟拿到机器资料后检查负载一切正常，查看客户使用的是宝塔linux面板，lnmp环境，可以通过slow log追踪到问题点我们先来配置slow log，执行：vi /www/server/php/70/etc/php-fpm.conf #添加图两行request_slowlog_timeout = 30slo...

php dirname配合__FILE__ 和SCRIPT_FILENAME获取文件目录

opfan的博客

03-07

1207

php dirname()函数获取给定文件路径中的目录部分，而$_SERVER['SCRIPT_FILENAME']全局预定义变量用于获取当前执行脚本的完整路径，因此我们如果要获取当前执行脚本的目录可以使用dirname()函数和$_SERVER['SCRIPT_FILENAME']获取，具体代码如下：<?php $dir = dirname($_SERVER['SCRIPT_FILE...

script filename php,获取PHP文件绝对地址$_SERVER['SCRIPT_FILENAME'] 与 __FILE__ 的区别

weixin_28695537的博客

03-10

435

通常情况下，PHP $_SERVER['SCRIPT_FILENAME'] 与 __FILE__ 都会返回 PHP 文件的完整路径(绝对路径)与文件名：echo 'SCRIPT_FILENAME 为：',$_SERVER['SCRIPT_FILENAME'];echo '';echo '__FILE__ 为：',__FILE__;?>上述测试代码拷贝至 test.php 并访问该文件(htt...

如何正确配置Nginx + PHP_.docx

10-09

在配置Nginx和PHP的过程中，正确的设置至关重要，因为不恰当的配置可能导致安全漏洞或性能问题。以下是对标题和描述中涉及的知识点的详细说明： 1. **配置结构与继承关系**： Nginx的配置文件通常由`http`、`...

mysql+php+nginx centos服务器配置

07-03

fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name; include fastcgi_params; } ``` 4. 启动Nginx服务并设置开机启动： ``` sudo systemctl start nginx sudo systemctl enable nginx ```...

Nginx搭建https服务器教程

09-30

fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name; fastcgi_param PATH_INFO $fastcgi_path_info; fastcgi_param QUERY_STRING $query_string; # 其他fastcgi_param... } ``` 在完成Nginx...

script filename php,PHP $_SERVER[SCRIPT_FILENAME] 与 __FILE__ 的区别

weixin_35426202的博客

03-10

398

上述测试代码拷贝至 test.php 并访问该文件(http://127.0.0.1/php/test.php)，得到如下结果：SCRIPT_FILENAME 为：E:/web/html/php/test.php__FILE__ 为：E:\web\html\php\test.php提示：在 windows 平台测试，得到结果如上所示可能会出现路径分隔符的细微差别。$_SERVER['SCRIPT_...

获取PHP文件绝对地址$_SERVER['SCRIPT_FILENAME'] 与 __FILE__ 的区别

u013707844的专栏

05-21

771

通常情况下，PHP $_SERVER['SCRIPT_FILENAME'] 与 __FILE__ 都会返回 PHP 文件的完整路径（绝对路径）与文件名： 1 2 echo 'SCRIPT_FILENAME 为：',$_SERVER['SCRIPT_FILENAME']; 3

__FILE__ 与 $_SERVER['SCRIPT_FILENAME']的区别

weixin_33676492的博客

01-21

134

二者都表明了本文件的绝对路径，区别在于， $_SERVER['SCRIPT_FILENAME']指向当前执行脚本的绝对路径； __FILE__指向当前文件的绝对路径；也就是写在哪个文件里就是哪里。例子： //test.phprequire'common/inc.php'; //common/inc.phpecho'SCRIPT_FILENAME...

nginx笔记之fastcgi_param解释

热门推荐

守护大白菜的博客

06-13

1万+

fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;#脚本文件请求的路径 fastcgi_param QUERY_STRING $query_string; #请求的参数;如?app=123 fastcgi_param REQUEST_METHOD $request_met

Nginx访问PHP文件的File not found

hail812的专栏

04-23

293

更改配置文件nginx.conf fastcgi_param SCRIPT_FILENAME /scripts$fastcgi_script_name; 替换成下面 fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name; 然后重新加载nginx配置文件 ...

【Nginx和PHP教程（一）】安装、配置及初步使用

qq_45659165的博客

02-08

1万+

在 Nginx 配置文件中，您需要创建一个新的服务器块，它定义了 Nginx 如何处理 HTML 文件的请求。它通常用作HTTP，HTTPS，SMTP，IMAP和其他TCP / UDP协议的网络服务器和代理服务器，以及HTTP，TCP和UDP服务器的反向代理和负载平衡器。在 Nginx 配置文件中还有许多其他选项和设置，可用于自定义和优化 Nginx 的行为。请注意，这些是一般步骤，根据您使用的 Nginx 版本、操作系统和配置方法，步骤和配置文件可能略有不同。：做出必要更改后，需要保存配置文件。

script filename php,PHP $_SERVER['SCRIPT_FILENAME'] 与 __FILE__ 的区别

weixin_39928461的博客

03-10

114

PHP $_SERVER['SCRIPT_FILENAME'] 与 __FILE__通常情况下，PHP $_SERVER['SCRIPT_FILENAME'] 与 __FILE__ 都会返回 PHP 文件的完整路径(绝对路径)与文件名：echo 'SCRIPT_FILENAME 为：',$_SERVER['SCRIPT_FILENAME'];echo '';echo '__FILE__ 为：',_...

nginx配置文件介绍

简单的世界

01-04

1736

server { listen 80; server_name local.api.baidu.com; access_log /logs/local-api.baidu.com/access.log main; error_log /logs/local-api.baidu.com/error.log ; root "/data/www/api.baidu.com/init/"; index ind...

php script_name,一次wordpress部署问题，SCRIPT_FILENAME 和 SCRIPT_NAME

weixin_33638349的博客

03-12

273

一次部署wordpress时，使用了如下server配置：server {listen 80;server_name word.cn;root /Users/steven/workspace/wordpress;index index.php index.html index.htm;location / {try_files $uri $uri/ /index.php?q=$uri&$...

LNMP服务器环境配置教程：Linux + Nginx + MySQL + PHP

"LNMP是Linux、Nginx、MySQL和PHP四个单词的首字母缩写，代表了一种常见的Web服务器环境配置。这种配置通常用于搭建高性能、低资源消耗的动态网站服务。以下是对该环境配置的详细说明。 LNMP环境配置首先需要一个...