解决nginx解析漏洞方法

最新推荐文章于 2024-05-10 01:24:05 发布
最新推荐文章于 2024-05-10 01:24:05 发布
阅读量363 收藏
点赞数
文章标签: 运维 php java
原文链接:https://yq.aliyun.com/articles/477510
版权

vim /usr/local/nginx/conf/fastcgi_params    
增加以下到文件最前面:    
if ($request_filename ~* (.*)\.php) {    
    set $php_url $1;    
}    
if (!-e $php_url.php) {    
    return 403;    
}

打开类似于这样的链接http://www.xxx.com/a.jpg/a.php会出现403

爱慕尔商城欢迎您的光临!
穿衣打扮  
城市物语





    本文转自yuangang_love 51CTO博客,原文链接:http://blog.51cto.com/linux008/932357,如需转载请自行联系原作者


weixin_33893473
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Nginx解析漏洞测试
09-19
Nginx是一款高性能的web服务器,使用非常广泛,其不仅经常被用作反向代理,也可以非常好的支持PHP的运行。默认情况下可能导致服务器错误的将任何类型的文件以PHP的方式进行解析,这将导致严重的安全问题,使得恶意的攻击者可能攻陷支持phpnginx服务器。
Nginx漏洞解析及复现
最新发布
A526847的博客
06-05 2333
开启这一选项有什么用呢?看名字就知道是对文件路径进行“修理”。举个例子,当php遇到 文件路径“/aaa.xxx/bbb.yyy/ccc.zzz”时,若“/aaa.xxx/bbb.yyy/ccc.zzz”不存在,则会去掉最后的 “/ccc.zzz”,然后判断“/aaa.xxx/bbb.yyy”是否存在,若存在,则把“/aaa.xxx/bbb.yyy”当做文件 “/aaa.xxx/bbb.yyy/ccc.zzz”,若“/aaa.xxx/bbb.yyy”仍不存在,则继续去掉“/bbb.yyy”,以此类推。
nginx解析漏洞简单复现及修复
qq_40907977的博客
09-07 4373
Nginx简介 Nginx是一款轻量级的web服务器/反向代理服务器及电子邮件(IMAP/POP3)代理服务器,其特点是占内存小、并发能力强;国内使用Nginx的有百度、京东、新浪、网易、腾讯、淘宝等 优势 1、作为Web服务器,Nginx处理静态文件、索引文件、自动索引的效率非常高 2、作为代理服务器,Nginx可以实现无缓存的反向代理加速,提高网站运行速度 3、作为负载均衡服务器,Nginx既可以在内部直接支持rails和PHP,也可以支持HTTP代理服务器对外进行服务,同时还支持简单的容错和利用算法进
Nginx解析漏洞复现
wyzhxhn的博客
11-18 2017
Nginx解析漏洞
PHP中使用FastCGI解析漏洞及修复方案
10-23
特别是在PHP与FastCGI结合使用时,如果配置不当,可能会出现解析漏洞,导致Web服务器的静态文件如CSS、JS、图片等被错误地作为PHP文件执行。这种漏洞可能会被攻击者利用,以上传恶意脚本并获取服务器的控制权。 ...
Nginx介绍123.zip
04-23
5. **定期更新**:保持Nginx版本的最新,修复已知安全漏洞,提升服务器的安全性。 总结来说,Nginx因其强大的性能、灵活的配置和广泛的社区支持,成为了Web服务领域的重要角色。理解其核心特性和工作原理,掌握配置...
nginx下支持PATH_INFO的方法实例详解
09-30
Nginx中支持PATH_INFO的一个方法是使用rewrite规则。Nginx的rewrite模块允许开发者编写规则,将URL映射到相应的脚本,并且可以将PATH_INFO信息传递给PHP。例如,可以使用location块来定义rewrite规则,将URL重写到...
nginx-1.12.0 版本的 Windows平台软件
02-07
在【标题】"nginx-1.12.0 版本的 Windows平台软件"中,我们关注的是Nginx的一个特定版本——1.12.0,它为Windows操作系统提供了一个强大的Web服务解决方案。 **Nginx特性** 1. **并发处理能力**:Nginx以其事件驱动...
lua版waf web防火墙 redis+nginx
06-23
**lua版WAF Web防火墙**是针对Web应用程序的安全防护系统,...总之,lua版WAF Web防火墙结合Redis和OpenResty Nginx,提供了一种高效且灵活的Web安全解决方案,能够有效地保护网站免受恶意攻击,同时便于管理和扩展。
Nginx漏洞复现
weixin_58163202的博客
02-08 1083
nignx漏洞复现
Nginx漏洞总结
热门推荐
weixin_42345596的博客
10-08 2万+
Nginx简介 Nginx (engine x) 是一个高性能的HTTP和反向代理web服务器,同时也提供了IMAP/POP3/SMTP服务。其将源代码以类BSD许可证的形式发布,因它的稳定性、丰富的功能集、简单的配置文件和低系统资源的消耗而闻名。2011年6月1日,nginx 1.0.4发布。 Nginx是一款轻量级的Web服务器/反向代理服务器及电子邮件(IMAP/POP3)代理服务器,在BSD-like 协议下发行。其特点是占有内存少,并发能力强,事实上nginx的并发能力在同类型的网页服务器中表现较
nginx代理DNS缓存域欺骗漏洞
weixin_34362991的博客
11-16 307
受影响系统: Igor Sysoev nginx 0.8.x Igor Sysoev nginx 0.7.x Igor Sysoev nginx 0.6.x Igor Sysoev nginx 0.5.x 描述: nginx是多平台的HTTP服务器和邮件代理服务器。 nginx解析过的域名维护一个内部的DNS缓存,但在搜素缓存时,nginx仅检查名称的...
网络安全最新nginx网站安全漏洞修复,2024年最新快速从入门到精通
2401_84544495的博客
05-10 631
2⃣️ 在nginx的http,server或者location中。我是添加到响应的server中的。3⃣️ 检验是否添加成功,在网站中再次访问查看是否含有该响应头,若没有,则清除浏览器缓存再次访问。一般配置正确重新加载配置就会看到该响应头。判断标准:检查响应头中是否有返回X-Frame-Options头,如果没有则报出漏洞。判断标准: 检查响应头中是否有返回X-Frame-Options头,如果没有则报出漏洞
nginx过appscan默认扫描和绿盟扫描
wwppp987的博客
02-26 3509
最近刚用上appscan,报了不少漏洞,在这里进行一一解决,同时记录一下自己的参考资料,以备后人。 使用环境,phpstudy8.1 1、 Content-Security-Policy(禁止外链资源)、X-Content-Type-Options(固定安全值)、X-XSS-Protection(固定安全值)这三个文件头缺失。 由于报js也是文件头缺失(adminlte),phpstudy的ap...
解决nginx 安全漏洞(CVE-2021-23017)-附nginx1.21安装脚本。
weixin_45829963的博客
07-30 1万+
绿盟扫描到服务器nginx漏洞,这个漏洞nginx的1.20版本之前都有存在,要不打补丁修复,要不升级nginx到1.20版本。 补丁升级有点麻烦,我选择直接从官方下载nginx.1.21源码包。 http://nginx.org/en/download.html 下载安装包后,将源码包上传至/root下。 #编译包与安装脚本需放在/root下 #判断系统类型是否为centos #---------------------------------------环境检查------------------
Nginx漏洞扫描及修复
qq_41512902的博客
07-01 2427
Nginx漏洞扫描及修复
nginx 优化和防盗链
weixin_75101141的博客
04-21 498
none:允许没有http_refer的请求访问资源(根据Referer的定义,它的作用是指示一个请求是从哪里链接过来的,如果直接在浏览器的地址栏中输入一个资源的URL地址,那么这种请求是不会包含 Referer 字段的),如 http://www.test.com/game.jpg。当修改文件的权限或者属性的时候,就会更新这个时间,ctime并不是create time,更像是change time,只有当更新文件的属性或者权限的时候才会更新这个时间,但是更改内容的话是不会更新这个时间。
高并发场景下Nginx安全与性能优化实战
- 配置文件详解:解析Nginx配置文件结构和常用指令。 - 代理模式:讲解如何设置反向代理,将请求转发至后端服务器。 - 配置web应用集群:演示如何利用Nginx搭建和管理多个应用服务器。 - 负载均衡:介绍负载均衡...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值