限定某个目录禁止解析php、限制user_agent、PHP相关配置

最新推荐文章于 2024-09-11 06:55:03 发布
最新推荐文章于 2024-09-11 06:55:03 发布
阅读量144 收藏
点赞数
文章标签: php 开发工具 python
原文链接:https://my.oschina.net/u/3731306/blog/1933404
版权

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

限定某个目录禁止解析php

某个目录下禁止解析 php,这个很有用,我们做网站安全的时候,这个用的很多, 比如某些目录可以上传文件(例如,图片,视频,文档等静态文件), 黑客可以通过上传带有木马的文件,然后执行这个文件来攻破我们的服务器,我们可以将该目录设置禁止PHP解析。这样就算上传的文件含有可执行木马,也不能执行。

  • 测试目标:禁止PHP解析ccc.com下upload目录内的文件
  1. 编辑虚拟主机配置文件 vim /usr/local/httpd2.4/conf/extra/httpd-vhosts.conf
  2. 添加以下内容
<Directory /tmp/ccc.com/upload>     
        php_admin_flag engine off                               
</Directory>
  1. 测试一下
  • 在ccc.com下创建目录upload→mkdir/tmp/ccc.com/upload
  • 在upload下写一个页面index.php→vim /tmp/ccc.com/upload/index.php
<?php
phpinfo ();
?>
  • 使用curl -x127.0.0.1:80 www.ccc.com/upload/index.php 测试
[root@localhost ~]# curl -x127.0.0.1:80 www.ccc.com/upload/index.php
<?php
phpinfo ();
?>

可以看到反馈回来的就是源代码,根本没有解析,使用浏览器访问的结果就是这个网页直接被下载了,根被解析不了。

  1. 为了检测试验的可信度,我们把配置文件中的配置注释掉,看一下反馈信息
[root@localhost ~]# curl -x127.0.0.1:80 www.ccc.com/upload/index.php -I
HTTP/1.1 200 OK
Date: Fri, 24 Aug 2018 01:15:45 GMT
Server: Apache/2.4.34 (Unix) PHP/5.6.37
X-Powered-By: PHP/5.6.37
Cache-Control: max-age=0
Expires: Fri, 24 Aug 2018 01:15:45 GMT
Content-Type: text/html; charset=UTF-8

可以看到,网页已经被解析了,再使用浏览器访问可以明显的看到解析后的页面

  1. 在上面的实验中我们看到,当我们配置了禁止php解析,反馈给访问者的信息是这个页面的源代码,这个对服务器的安全不是很友好,我们还可以通过给这个目录设置所有php文件都不能访问来将安全等级升级。
<Directory /tmp/ccc.com/upload>
        php_admin_flag engine off
        <FilesMatch (.*)\.php(.*)>
           Order allow,deny
           deny from all
		   </FilesMatch>
</Directory>
  • 在使用curl访问就是403 Forbidden了
[root@localhost upload]# curl -x127.0.0.1:80 www.ccc.com/upload/index.php -I
HTTP/1.1 403 Forbidden
Date: Fri, 24 Aug 2018 01:29:08 GMT
Server: Apache/2.4.34 (Unix) PHP/5.6.37
Content-Type: text/html; charset=iso-8859-1
  • 使用浏览器访问
  • /upload下的其他非php的页面仍然可以正常访问

限制user_agent

User-Agent(用户代理),即不让哪些浏览器或其他访问方式来访问我们的网站

实验目标:限制user_agent为curl和google浏览器的访问

  • 编辑虚拟主机配置文件 vim /usr/local/apache/conf/extra/httpd-vhosts.conf
  • 在配置文件中添加如下内容
<IfModule mod_rewrite.c>
        RewriteEngine on
        RewriteCond %{HTTP_USER_AGENT}  .*curl.* [NC,OR]                   #NC表示忽略大小写,OR表示或者的意思,上下两个条件或者
        RewriteCond %{HTTP_USER_AGENT}  .*Chrome* [NC]             #限制user_ragent 为curl或者Google浏览器的进行访问
        RewriteRule  .*  -  [F]                                                                          #直接F表示,Forbidden
    </IfModule>
  • 配置完成之后,使用curl访问,反馈的界面是403,使用Google的浏览器Chrome也是forbidden,使用IE浏览器可以正常访问,说明配置生效。另外curl -A是可以指定代理的,比如curl -A "www.baidu.com" -x127.0.0.1:80/www.ccc.com/upload/test.jpg 指定的代理是www.baidu.com,反馈的代码就是200,表示能正常访问。
[root@localhost logs]# curl -x127.0.0.1:80 www.ccc.com/upload/test.jpg
<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html><head>
<title>403 Forbidden</title>
</head><body>
<h1>Forbidden</h1>
<p>You don't have permission to access /upload/test.jpg
on this server.<br />
</p>
</body></html>

PHP相关配置

  • PHP的配置文件存放地址,可以在phpinfo面查看相关的信息 Loaded Configuration File 指的就是配置文件所在目录
  • 如果在Loaded Configuration File这一栏显示的是(none),那么说明配置文件没有加载
  • 如果需要启动配置文件,我们可以拷贝模板配置文件,模板配置文件通常在源码包里面放置的有,执行命令: cp php.ini-development /usr/local/php/etc/php.ini
  • 拷贝配置文件后需要重新加载下Apache再进行刷新就可以了

  • 编辑配置文件 vim /usr/local/php/etc/php.ini

  • 启用disable_functions,可以禁用一些危险的函数,提高服务器的安全 搜索关键字:disable_functions 找到如下行: 在后面添加如下内容 eval,assert,popen,passthru,escapeshellarg,escapeshellcmd,passthru,exec,system,chroot,scandir,chgrp,chown,escapeshellcmd,escapeshellarg,shell_exec,proc_get_status,ini_alter,ini_restore,dl,pfsockopen,openlog,syslog,readlink,symlink,leak,popepassthru,stream_socket_server,popen,proc_open,proc_clos在我们测试完之后,业务需要上线的时候,应该把phpinfo也添加进去。
  • 定义date.timezone ,时区 搜索关键字:date.timezone 找到如下行:date.timezone= 在后面添加 Asia/Shanghai,将时区定义为上海
  • 定义错误日志 搜索关键字:display_errors=On 将其中的On改为Off, 更改之后错误的信息不会输出到浏览器里面,避免目录出现暴露,如果不改为off我们看一下它的错误输出信息: 会将我们后台的目录暴露给访问者。
  • 定义错误日志存放的地址 错误信息不暴露给访问者,但是管理员需要查看错误日志用以排错,这就需要配置错误日志的目录了 首先搜索Log_errors= 赋值On ,意思是开启错误日志 搜索关键字:error_log= 在后面可以定义错误日志的存放路径/tmp/php_errors.log
  • 在生产环境中,还需要重新定义一下错误日志的级别,因为默认级别为E_ALL,会写入所有的记录,比如warning ,notice, error等,因为notice信息很多,而且没有记录的意义,所以错误日志的级别我们一般使用E_ALL&~E_NOTICE这个。 搜索error_reporting= 赋值error_reporting=E_ALL&~E_NOTICE 就可以了。

open_basedir

  • 将 PHP 所能打开的文件限制在指定的目录树,包括文件本身。本指令不受安全模式打开或者关闭的影响。

  • 当一个脚本试图用例如 fopen() 或者 gzopen() 打开一个文件时,该文件的位置将被检查。当文件在指定的目录树之外时 PHP 将拒绝打开它。所有的符号连接都会被解析,所以不可能通过符号连接来避开此限制。

  • 特殊值 . 指明脚本的工作目录将被作为基准目录。但这有些危险,因为脚本的工作目录可以轻易被 chdir() 而改变。

  • 在 httpd.conf 文件中中,open_basedir 可以像其它任何配置选项一样用“php_admin_value open_basedir none”的方法关闭(例如某些虚拟主机中)。

  • 作为 Apache 模块时,父目录中的 open_basedir 路径自动被继承。

  • 用 open_basedir 指定的限制实际上是前缀,不是目录名。也就是说“open_basedir = /dir/incl”也会允许访问“/dir/include”和“/dir/incls”,如果它们存在的话。

  • 如果要将访问限制在仅为指定的目录,用斜线结束路径名。例如:“open_basedir = /dir/incl/”。

  • 针对不同的站点设置open_basedir,将用户可操作的文件限制在某目录下

  • 编辑虚拟主机配置文件 vim /usr/local/apache/conf/extra/httpd-vhosts.conf

  • 在配置文件里面添加如下内容即可实现 php_admin_value open_basedir "/tmp/ccc.com:/tmp/"

转载于:https://my.oschina.net/u/3731306/blog/1933404

weixin_34018169
关注
Apache 配置静态缓存+禁止解析+限制访问目录
haoyiyide的博客
02-17 3515
1.Apache 配置静态缓存 为了提高资源的利用率,可以设置文件缓存的时间长短 # vim /usr/local/apache2/conf/extra/httpd-vhosts.conf 找到:CustomLog "|/usr/local/apache2/bin/rotatelogs -l /usr/local/apache2/logs/test.com-access_%Y%m
PHP 学习路线
墨鱼菜鸡
07-11 3479
PHP 官网文档(中文):https://www.php.net/manual/zh/langref.php ThinkPhp (官方手册、入门教程):https://sites.thinkphp.cn/1556331 ​W3School PHP 教程:http://www.w3school.com.cn/php/index.asp w3cschool...
iis6.0、iis7.0设置相关目录禁止执行php或其他危险文件
Pete很皮
06-06 2542
iis6.0设置相关目录禁止执行脚本方法第1步:远程连接到Windows服务器,在我的电脑图标上右键选择管理,在打开的计算机管理程序左侧找到Internet信息服务管理器并单击打开。电脑互助网注:或是直接打开Windows控制面板,并在打开的控制面板中找到管理工具下的“Internet信息服务”,双击即可打开。第2步:找到自己需要设置网站的相关目录(如织梦的uploads目录),在此目录中右键选择...
IIS 不解析PHP配置方法
爱人BT的博客
03-18 967
第一步:然后用记事本打开Windows文件夹下的“php.ini”文件,将“extension_dir =”./””该成“extension_dir ="D:\php\ext"”(自己的路径),最后保存即可,如下图: 第二步:在IIS中配置php,使站点支持php的使用 1、控制面板-》管理工具-》信息服务管理器,在网站主页的功能中选择“处理映射功能”,添加phpcgi模块,点击确定完成。...
限定某个目录禁止解析php限制user_agentphp相关配置
weixin_33972649的博客
10-30 129
笔记内容:11.28 限定某个目录禁止解析php11.29 限制user_agent11.30/11.31 php相关配置笔记日期:11.28 限定某个目录禁止解析php如果我们的网站有一个目录,可以上传图片,可能保不准有些别有用心的人会通过一些手段,上传php文件到这个目录下。那么这个php文件就会被apache执行,如果这个php文件里写的是恶意代码,你的服务器自然就会遭...
如何在Apache和Nginx禁止上传目录PHP的执行权限
09-15
主要介绍了如何在Apache和Nginx禁止上传目录PHP的执行权限的具体方法,非常简单,有需要的小伙伴可以参考下
PHP上传图片如何防止图片木马?
weixin_30740295的博客
05-18 736
segmentfault回答: http://segmentfault.com/q/1010000000507750 一、 其实识别图片木马是很困难的,可以在一张正常的图片里加入一句话木马。 但是只要做到图片不会被执行,你的web服务器没有古老的解析漏洞,你的web程序不存在简单的包含漏洞,那么图片木马是基本可以防止的。 二、 题主可以参考这个问题: 《php的mime处理问题》...
linux的apache2.4限定某个目录禁止解析PHPuser_agentPHP相关配置1
08-08
首先,我们要禁止某个目录解析PHP。以 `/data/wwwroot/111.com/upload` 为例,我们需要编辑虚拟主机配置文件,通常是 `/usr/local/apache2.4/conf/extra/httpd-vhosts.conf`。在这个文件中,添加以下内容: ```...
php curl简单采集图片生成base64编码(并附curl函数参数说明)
摘取天上星
05-02 4954
许多年前的代码突然拿来一用,特做此笔记(此处的code用来定位内部错误位置,非http code)<?php $url="http://c.hiphotos.baidu.com/image/w%3D210/sign=ed30880babec8a13141a50e1c7029157/d52a2834349b033be1a9503e17ce36d3d539bd35.gif"; function cu
开发知识点-PHP从小白到拍簧片
aming小老弟
11-04 716
收集来自 method=“post” 的表单中的值。POST 方法的发送信息的量最大值为 8 MB(可通过设置 php.ini 文件中的 post_max_size 进行更改)
nginx+php 上传含有php脚本的木马图片文件的漏洞解决
xuyaqun的专栏
12-03 5564
http://www.80sec.com/nginx-securit.html漏洞详解解决方法:解决方案:我们已经尝试联系官方,但是此前你可以通过以下的方式来减少损失关闭cgi.fix_pathinfo为0或者if ( $fastcgi_script_name ~ /..*//.*php ) {return 403;}漏洞危险等级:毁灭性。 这个漏洞严格上说并不是 Nginx 和 PHP 本身的漏洞造成的,而是由配置造成的。在我之前写的许多配置中,都普遍存在这个漏洞。 简易检测方法: 打开 Nginx +
禁止某个目录执行php权限
fred's blog
06-10 873
<br />    location ^~ /uploadfile<br />    {<br />        break;<br />    }
禁止解析目录php限制访问user_agent,php相关配置
weixin_34068198的博客
03-12 99
修改配置文件 测试经过测试,根本无法解析到123.php的内容,还可以再次修改配置文件,再提高一个安全级别,根本不允许访问这个目录 访问控制-user-agent修改配置文件F forbidden测试curl403被拒绝,查看下日志^_^发现访问日志来源都是curl 成功访问,并查看访问日志 php相关配置查看php配置文件位置 关闭安全相关的函数功能重新加载配置后打开浏览器测试 php信息已被...
2018-06-29笔记(LAMP配置
weixin_34233421的博客
07-01 99
11.25 配置防盗链 什么是盗链 “盗链”的定义是:此内容不在自己服务器上,而通过技术手段,绕过别人放广告有利益的最终页,直接在自己的有广告有利益的页面上向最终用户提供此内容。 常常是一些名不见经传的小网站来盗取一些有实力的大网站的地址(比如一些音乐、图片、软件的下载地址)然后放置在自己的网站中,通过这种方法盗取大网站的空间和流量。 解决这个问题的方法是配置下防盗链,让外来的盗不了链,这里可以用...
NGINX:禁止上传目录执行php文件防止webshell
weixin_34008784的博客
05-30 1285
在apache下做如下设置: 以apache 模块方式运行 PHP <Directory /www/www.example.com/upload> php_flag engine off </Directory> <Directory ~ "^/www/.*/upload"> <Files ~ ".php"> ...
配置防盗链、访问控制– Directory及访问控制 – FilesMatch
weixin_33882443的博客
06-01 66
一、配置防盗链 配置文件增加如下内容<Directory /data/wwwroot/11.com>SetEnvIfNoCase Referer "http://www.11.com" local_refSetEnvIfNoCase Referer "http://11.com" local_refSetEnvIfNoCase Referer "^$" local_ref<fil...
一码空传临时网盘PHP源码,支持提取码功能
爱酷码的博客
09-11 388
一码空传临时网盘源码V2.0免费授权,该源码提供了一个简单易用的无数据库版临时网盘解决方案。前端采用了layui开发框架,后端使用原生PHP编写,没有引入任何开发框架,保持了代码的简洁和高效。这个程序使用了一个无数据库配置读写类,并借鉴了网络上的config文件读写代码。用户可以通过提取码来提取文件,无需上传文件到服务器。该程序还配备了一个后台管理系统,而且不需要数据库支持。用户上传的文件会保存在upload文件夹中,并按照md5算法进行加密和重命名,确保每次加密结果都不相同。
Redis 多线程模型详解
最新发布
lssffy的博客
09-11 910
在 Redis 的早期版本中,Redis 采用了典型的单线程模型,即所有的客户端请求都是由 Redis 的主线程依次处理的。具体来说,Redis 使用单线程的事件循环模型来处理客户端的请求和响应,使用了操作系统的selectpoll或epoll来管理多个客户端连接。为什么 Redis 选择单线程?简单性:单线程模型不需要考虑线程间数据竞争问题,避免了锁机制带来的复杂性和潜在的性能开销。避免上下文切换:多线程环境下,线程的上下文切换会引入额外的 CPU 负担,而单线程架构没有这个问题。性能足够。
"Linux下Apache2.4限定目录禁止PHP解析及用户代理限制配置
限制某个目录禁止解析 PHP,首先需要找到虚拟主机配置文件,通常位于 Apache 的配置目录下。可以通过修改该文件来实现对特定目录配置更改。 1. 首先,使用终端登录到 Linux 主机,并获取管理员权限。可以使用...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值