htaccess上传目录执行php,apache,nginx取消上传目录执行权限

最新推荐文章于 2023-04-02 14:02:30 发布
最新推荐文章于 2023-04-02 14:02:30 发布
阅读量194 收藏
点赞数
文章标签: htaccess上传目录执行php

将以下代码添加至Server容器中的合适位置,也就是在定义fastcgi的规则之前.

location ~* ^/upload/.*\.(php|php5)$

{

deny all;

}

下面给个目前™论坛的部分nginx配置

server

{

listen 80;

server_name bbs.sinounix.com;

index index.php index.htm index.html;

location ~* ^/sudata/.*\.(php|php5)$

{

deny all;

}

location ~ .*\.(php|php5)?$

{

fastcgi_pass 127.0.0.1:9000;

fastcgi_index index.php;

include fastcgi.conf;

}

root /var/www/Discuz/;

}

一般CMS都支持上传图片、附件等文件,然而这个目录不需要php脚本执行支持,如果你没有加以禁止的话,会给主机带来安全隐患,Blinux的网站曾经遭遇到坏坏注入.

今天介绍如何取消apache主机指定目录的php脚本执行权限,注意哦,并非Linux下文件的执行权限x.下面提供几种不同作业环境的解决方案.

1.如果你只有编辑.htaccess文件的权限

你可以在上传目录添加一个.htaccess文件,比如在Wordpress的/wp-content/uploads/目录,Discuz的/attachments/目录,.htaccess文件的内容可以是

Order  allow,deny

Deny  from  all

或者是(这个是bigcat透露的   )

RewriteEngine on

RewriteCond % !^$

RewriteRule \.(php)$ - [F]

2.如果你有编辑httpd.conf文件的权限

Order  allow,deny

Deny  from  all

汪万斌
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
如何在ApacheNginx禁止上传目录PHP执行权限
09-15
主要介绍了如何在ApacheNginx禁止上传目录PHP执行权限的具体方法,非常简单,有需要的小伙伴可以参考下
iis、apachenginx禁止目录执行asp、php脚本的实现方法
09-15
本文主要介绍如何在三种常见的Web服务器——IIS、ApacheNginx上禁止特定目录执行ASP和PHP脚本,以确保图片上传目录等非执行脚本区域的安全。 ### IIS (Internet Information Services) 在IIS中,禁止目录执行...
如何取消服务器/主机空间目录脚本的执行权限(apache)
无效的博客
09-17 1414
Apache目录脚本的执行权限设置 独立主机配置 首先我们找到apache的配置文件httpd.conf,通常情况下,该配置文件apache安装目录下的conf文件夹中(如图4)。 (图4) 打开httpd.conf文件,找到内容中如图5的位置: (图5)   将需要限制执行脚本文件目录配置添加到下方: 配置内容为: 1 Directo
linux 取消上传文件存储目录执行脚本的权限防御WebShell攻击
qq117361093的专栏
08-17 2785
      大部分应用系统都有上传图片或文件的功能,攻击者利用这些功能上传一个网页木马,如果存放上传文件目录执行脚本的权限,那么攻击者就可以直接得到一个WebShell,进而控制Web服务器。这个漏洞有两个必要条件,一是可以上传木马,二是存放上传文件目录具备执行脚本的权限上传是业务的功能需要,即便有做各种安全过滤,限制木马上传,但也有各种绕过过滤的攻击方法,比较难以限制。所以漏洞的关键就...
文件上传.htaccess上传
redwand的博客
02-03 7159
一、apache基本配置 二、原理测试 三、上传条件
php 上传安全,使用htaccess使PHP文件上传安全
weixin_31318441的博客
03-10 236
我们能够遵循本网站上提到的所有指南,接受htaccess规则.他们提到要做以下事情.Define a .htaccess file that will only allow access to files with allowed extensions.Do not place the .htaccess file in the same directory where the uploaded ...
nginx支持.htaccess文件实现伪静态的方法分享
09-10
在本文中,我们将深入探讨如何在Nginx服务器上使用`.htaccess`文件来实现伪静态,这是一个常见的需求,特别是对于那些从Apache迁移到Nginx的网站管理员。首先,我们要澄清一个误解:Nginx确实支持`.htaccess`文件,...
nginx设置上传目录执行权限
weixin_33744854的博客
05-30 231
在windows+iis下,可以设置上传目录,类似:upload,uploadfile,p_w_uploads,这样的目录下面无脚本执行权限,从而防止非法用户上传脚本得到webshellnginx上也很简单,我们使用location。。如下: location ~ ^/upload/.*\.(php|php5)${deny all;} 其中upload换为你要设置的目录名...
linux 取消目录php脚本执行权限
收集盒 Book box
08-06 1111
假设取消web 目录uploads的php脚本执行权限, 网站根目录是/var/www/blog。 针对 apache : Order allow,deny Deny from all 针对 nginx : location ~ ^/upload/.*\.(php|php5)$ { deny all; } 简单写个php文件测试如下: Forbidden Yo
php中的.htaccess文件的运用
weixin_42371812的博客
04-02 699
何为伪静态,简单来说,就是把后缀为php的的路由,伪装成.html,或者,在一些php的框架中,入口文件为index.php文件直接隐藏了。再都,如果从seo方面来说,搜索引擎更喜欢爬html的静态文件。OK,这个http.conf设置完之后,就可以在.htaccess文件中写我们伪静态方法了。然后,改了httpd.conf的配置之后,记得一定得重启你的apache服务,不然不会生效。首先,我得先说明一下,要想实现伪静态,我们必须先在apache的配置文件那儿做一些设置。
附件目录执行php,Nginx下WordPress附件目录禁止运行PHP
weixin_39952800的博客
04-08 129
WordPress的市场巨大,被各种坏人盯上,可能哪天你的程序附件目录里面就被上传了木马。通常被植入了PHP文件,然后远程执行,娃哈哈,懂的。如果把WordPress附件目录里面的PHP禁止运行,就不用担心了。我用的是nginx,说说禁止方法:[cc lang="php"]location /wp-content/uploads/ {location ~ .*\.(php)?$ {deny all...
文件上传漏洞之.htaccess文件解析漏洞
更多知识欢迎访问我的博客园:https://www.cnblogs.com/2ha0yuk7on/
06-01 6567
  htaccess文件Apache服务器中的一个配置文件,它负责相关目录下的网页配置。通过htaccess文件,可以帮我们实现:网页301重定向、自定义404错误页面、改变文件扩展名、允许/阻止特定的用户或者目录的访问、禁止目录列表、配置默认文档等功能。
Apache安全配置
swordheart的博客
04-21 3854
0x00 测试环境 centos6.5+apache2.2.15+php5.3.3 0x01 php运行模式介绍 php运行模式分四种: 1 2 3 4 5 <code>1. CGI通用网关接口 2. fast-cgi常驻型的CGI 3. cli命令行运行 4. web模块模式 </code> 一般情况下,apache使用web模块模式运行php 0x02 Apac
Web安全 文件上传执行文件漏洞解决方案
HaHa_Sir的博客
10-10 1691
Web安全 文件上传执行文件漏洞解决方案 一、问题重现 1、一个基于SpringMVC的文件上传,假设上传一个script.jsp的文件,里面写好java代码,文件上传成功后,可以直接访问到 如:,localhost:8080/uploadFiles/script.jsp ,会造成jsp文件执行,从而对系统造成危害。 2、script.jsp ,代码如下: <%@ page language="java" contentTyp...
修改.htaccess执行php文件
冷风
06-18 5631
是个很老技术了,有一个php上传,可以控制上传文件名,但服务器端做了过滤,文件名中不能包含php字符串,各种绕过无效。后面就上传了一个 .htaccess文件里面只有一句AddType application/x-httpd-php .abc之后,把php后门改成 xx.abc上传上去就可以执行了。
文件上传漏洞之.htaccess
不好好做安全的运维足球狗
03-12 5424
0x00 前言 .htaccess文件(“分布式配置文件”)提供了针对目录改变配置的方法, 即,在一个特定的文档目录中放置一个包含一个或多个指令的文件, 以作用于此目录及其所有子目录。作为用户,所能使用的命令将受到限制。管理员可以通过Apache的AllowOverride指令来设置。 概述来说,htaccess文件Apache服务器中的一个配置文件,它负责相关目录下的网页配置。通过htacce...
网站php执行权限,取消网站文件目录脚本执行权限的方法步骤
weixin_36081187的博客
03-11 531
今天,在登录网站后台时,发现一个DedeCMS安全提示:目前data、uploads有执行.php权限,非常危险,需要立即取消目录执行权限!如下图所示:对于网站安全维护的过程中,目录执行权限是非常敏感的,一般来说,可以写入的目录是不能够拥有脚本的执行权限的,像DedeCMS系统,可写入的有两个目录,既:data文件和uploads文件。data目录主要是基本配置文件和缓存数据,uploads则...
大学生挑战杯-喜树根器官培养和抗癌物质喜树碱生成的研究.rar
最新发布
07-26
大学生挑战杯-喜树根器官培养和抗癌物质喜树碱生成的研究.rar
NginxApache伪静态设置详解及优缺点分析
"NginxApache的伪静态设置是网站优化的重要手段,尤其对于搜索引擎优化(SEO)具有积极影响。伪静态技术通过URL重写,将动态网址转换为看似静态的HTML格式,提高用户体验和搜索引擎的抓取效率。本文档详细介绍了这...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值