本文揭示了phpStudy开发环境中存在的FastCGI安全性问题,指出其默认设置可能导致严重的安全风险,包括跨目录访问和源码泄露。默认监听所有IP、触发漏洞条件开启以及fastCGI权限过高都是潜在威胁。建议用户关注此类安全隐患,权衡便捷与安全的平衡。
昨晚在某群讨论 phpStudy 时,某大牛直说, phpstudy 的 fastcgi 安全性问题,并说了是解析漏洞 a.jpg/1.php
本人也是一方良辰,对于此漏洞也分析过,这个漏洞是 nginx 和 fastCGI 下触发的,由于 phpFPM 默认只解析 php 文件,如果用解析漏洞访问会返回 Access denied ,所以我是没测试过这个漏洞的。
本着以理服人的原则,本人还是对 phpstudy 进行了一下测试,结果自己的脸肿的都不敢摸了。。
phpstudy 刚刚更新, nginx 更新到了 1.9.9 ,增加了 php7 的支持,由于 win10 兼容问题,我这里只能启用 php5.5
当我用 /.php 访问时
我他么尿了。。
解析了,先不惊慌,能跨目录吗?
不惊慌,跨目录怕啥,权限在这不是?
嗯?权限呢??
没错,是当前用户,所有目录畅行无阻
最低0.47元/天 解锁文章
扫一扫
40
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
