nginx 上传文件漏洞_Nginx 出现高危漏洞,可任意上传文件。附解决办法

最新推荐文章于 2024-06-05 09:06:29 发布
最新推荐文章于 2024-06-05 09:06:29 发布
阅读量966 收藏
点赞数
文章标签: nginx 上传文件漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39675963/article/details/111513654
版权

Nginx 给我的形象一直是稳定快速,但是现在出现了一个这么大的漏洞、不得不补一下了 。。

其实此次漏洞的话应该不会危及太多人,因为没多少人会那么无聊的去刚好在这个时候去搞你网站。

这里我说一下应该如何解决这个问题,仅需一个脚本即可:

wget soft.vpser.net/lnmp/upgrade_nginx.sh;sh upgrade_nginx.sh

执行如上命令之后,输入 Nginx 最新稳定版的版本号即可、例如:1.4.4

输入完成之后按两下回车就可以自动完成编译和替换配置了。

注意事项:

1、若是手动安装的 Nginx 可以按照加速乐新闻的方法解决

2、若手动安装的目录和发行版安装的目录不一样建议修改脚本后运行

3、如果实在搞不定!就去用加速乐吧!!!

其他的就不多说了,表示还是 Nginx 前端 + Apache 后端会安全一点。而且也很好实现的哦!

小结

虽然说出了一个漏洞、但是还是很好解决的所以不要担心。

其次就是如果担心 Nginx 还有漏洞爆发的话,可以先换成 Apache 来监听 80 端口即可。

题外话:创智主机的免费产品配额都从原来的 200M 容量+ 20G 流量升级为了 300M 容量+ 30G 流量(原先除了美国、法国以外都是 200M),另外的就是创智或许会推出 LNMPV 免费主机合租,当然、即使推出也可能是国内节点,目前安排了多台 512M 的 VPS,每台 5 人,就是还不清楚到底是有面板的好还是没面板的好 。。

weixin_39675963
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
nginx1.4.0漏洞验证
06-21
测试用到的python文件和linux版本的nginx1.4.0源码
文件漏洞实战getshell分析 形成 利用 修复
weixin_74245209的博客
12-20 1111
文件漏洞是指用户上了一个可执行的脚本文件(php、jsp、xml、cer等文件),而WEB系统没有进行检测或逻辑做的不够安全。文件功能本身没有问题,问题在于上后如何处理及解释文件。一般情况下,Web应用都会允许用户上一些文件,如头像、件等信息,如果Web应用没有对用户上文件进行有效的检查过滤,那么恶意用户就会上一句话木马等Webshell,从而达到控制Web网站的目的。提示:以下是本篇文章正文内容,下面案例可供参考。webshell getshell
Nginx漏洞解析及复现
最新发布
A526847的博客
06-05 1678
开启这一选项有什么用呢?看名字就知道是对文件路径进行“修理”。举个例子,当php遇到 文件路径“/aaa.xxx/bbb.yyy/ccc.zzz”时,若“/aaa.xxx/bbb.yyy/ccc.zzz”不存在,则会去掉最后的 “/ccc.zzz”,然后判断“/aaa.xxx/bbb.yyy”是否存在,若存在,则把“/aaa.xxx/bbb.yyy”当做文件 “/aaa.xxx/bbb.yyy/ccc.zzz”,若“/aaa.xxx/bbb.yyy”仍不存在,则继续去掉“/bbb.yyy”,以此类推。
文件漏洞
weixin_47081872的博客
10-21 7238
文件漏洞 一、文件原理 1.在文件的功能处,若服务端脚本语言未对上文件进行严格验证和过滤,导致恶意用户上恶意的脚本文件时,就有可能获取执行服务端命令的能力,这就是文件漏洞。 2.文件漏洞对Web应用来说是一种非常严重的漏洞。一般情况下,Web应用都会允许用户上一些文件,如头像、件等信息,如果Web应用没有对用户上文件进行有效的检查过滤,那么恶意用户就会上一句话木马等Webshell,从而达到控制Web网站的目的。 二、文件漏洞高危触发点 1.相册、头像上 2.视频
文件Nginx解析漏洞
一个普普通通的博客
03-24 6923
文件Nginx解析漏洞
nginx文件漏洞_文件及解析漏洞
weixin_30444517的博客
12-29 1651
注:本文仅供学习参考文件定义:文件漏洞是指网络攻击者上了一个可执行的文件到服务器并执行。这里上文件可以是木马,病毒,恶意脚本或者WebShell等。这种攻击方式是最为直接和有效的,部分文件漏洞的利用技术门槛非常的低,对于攻击者来说很容易实施。即便很容易被攻击者利用漏洞,但是在今天的现代互联网的Web应用程序,它是一种常见的要求,因为它有助于提高业务效率。企业支持门户,给用户各企业...
nginx文件大小报错500的解决办法
09-30
主要介绍了nginx文件大小报错解决办法的相关资料,小文件可以提交,大文件会报500内部错误,这里提供解决办法,需要的朋友可以参考下
Nginx文件全部缓存解决方案
09-03
此外,解决Nginx文件缓存问题的方法不止这一种。例如,还可以调整Nginx的缓存设置,如增加缓存大小或改变缓存策略。或者,如果后端服务器支持,可以修改后端应用程序的处理逻辑,以适应Nginx的默认缓存行为。...
Nginx文件超时解决办法
09-30
主要介绍了Nginx文件超时解决办法的相关资料,这里上文件并设置nginx的配置文件防止超时的情况,需要的朋友可以参考下
nginx文件漏洞_文件漏洞总结(绕过方法)
weixin_33462927的博客
01-12 1527
文件漏洞总结什么是文件漏洞文件漏洞是指用户上了一个可执行的脚本文件,并通过此脚本文件获得了执行服务器端命令的能力。这种攻击方式是最为直接和有效的,“文件”本身没有问题,有问题的是文件后,服务器怎么处理、解释文件文件流程通常一个文件以 HTTP 协议进行上时,将以 POST 请求发送至 web 服务器web 服务器接收到请求后并同意后,用户与 web 服务器将建立连接,...
nginx文件漏洞_文件漏洞,解析漏洞总结
weixin_39580124的博客
12-19 652
文件漏洞、解析漏洞总结1.文件漏洞是什么文件漏洞是指用户上了一个可执行的脚本文件,并通过此脚本文件获得了执行服务器端命令的能力。常见场景是web服务器允许用户上图片或者普通文本文件保存,而用户绕过上机制上恶意代码并执行从而控制服务器。显然这种漏洞是getshell最快最直接的方法之一,需要说明的是上文件操作本身是没有问题的,问题在于文件到服务器后,服务器怎么处理和解释文件...
Ingress Nginx 接连披露高危安全漏洞,是否有更好的选择?
阿里巴巴云原生的博客
08-07 1004
在《K8s 网关选型初判:Nginx 还是 Envoy》一文中,我们已经给出了这个新的选项:MSE 云原生网关。本文继续展开分析,为何 MSE 云原生网关有更好的安全性保障。
nginx文件漏洞_FCKeditor/phpok文件漏洞复现
weixin_36212732的博客
12-29 876
人不可能十全十美,十分能耐使七分,留下三分给儿孙。俗话说得好FCKeditor_v2.4.31、前言常见的文本编辑器如FCKeditor、Ewebeditor、UEditor、KindEditor、XHeditor等,因其包含有文件接口,导致经常出现安全缺陷。这里主要对 FCKeditor 编辑器的历史文件漏洞做复现。2、FCKeditor常用上地址fckeditor/edit...
浅谈Nginx(或LNMP)、Apache(或LAMP)、Tomcat版本信息泄露危险和修复方法
满天点点星辰的博客
04-07 4026
在使用Nginx(或lnmp)做反向代理、集群或是做跨域配置、Apache(或lamp)和Tomcat做为应用端使用时,其相关版本号和软件名称信息泄露,此时攻击者会利用相应软件版本的当前漏洞,进行有效的相应攻击。
信息服务上线渗透检测网络安全检查报告和解决方案3(系统漏洞扫描、相对路径覆盖RPO漏洞nginx漏洞修复)
漏刻有时数据可视化大屏(PHP&ECHARTS智能化开源软件系统)
03-03 1030
经过对该部门应用系统漏洞扫描工作开展,发现高风险漏洞0项,中风险漏洞1项,低风险漏洞11项。业务部门对于中高风险漏洞按照专业安全测评公司建议及时修改,修改后我们及时开展二次漏洞扫描工作。确保应用系统漏洞控制在安全法规要求之内,确保信息与数据安全。@漏刻有时。
php Uri 漏洞,升级nginx应对nginx的URI处理安全限制绕过漏洞安全漏洞(CVE-2013-4547)
weixin_42099755的博客
03-20 285
11月20日,nginx官方更新邮件列表,对外通报Nginx 0.8.41 - 1.5.6 版本存在两类高危漏洞:通过Nginx规则限制后台地址访问IP、数据库等敏感地址访问的网站如果使用受影响版本,可能会造成限制失效。网站存在上功能,攻击者可以上存在恶意代码的图片、txt、html文件即可向网站植入后门。bug的中文译文如下:Nginx 的安全限制可能会被某些请求给忽略,(cve-2013-...
nginx网站安全漏洞修复
unhejing的博客
07-27 9984
前言:公司项目交付之前甲方进行了安全漏洞的扫描。大部分漏洞都是因为nginx响应没有加上仿攻击的响应头。记录一下漏洞以及解决方法 1.检测到目标URL存在相对路径覆盖(RPO)漏洞漏洞是因为一下原因: --访问当前URL,检测响应头是否配置了x-content-type-options头; --如果没有配置,则检查响应内容,若响应内容是没有DOCTYPE声明的HTML,且存在相对路径引用的css、js资源,则认为存在该漏洞解决方法: 1⃣️ 去掉响应内容里面的相对路径。这个是由于代码之前引
相对路径覆盖漏洞攻击RPO详解
Cwillchris的博客
09-26 3960
此攻击方法依赖于浏览器和服务器的反应,基于服务器的Web缓存技术和配置差异,以及服务器和客户端浏览器的解析差异,利用前端代码中加载的css/js的相对路径来加载其他文件,最终浏览器将服务器返回的不是css/js的文件当做css/js来解析,从而导致XSS,信息泄露等漏洞产生。这就是相对路径覆盖攻击, 我们成功用/aaa目录下的b.js覆盖掉了a.html中静态资源b.js的路径.如果我们控制网站根目录下的aaa的目录下面的b.js的内容,写入/aaa/b.js内容如下。输入如下代码,保存退出。
nginx常见漏洞解析_nginx漏洞,2024年最新蚂蚁金服网络安全架构面试题
2401_83621541的博客
04-15 701
中间件漏洞可以说是最容易被web管理员忽视的漏洞,原因很简单,因为这并不是应用程序代码上存在的漏洞,而是属于一种应用部署环境的配置不当或者使用不当造成的。但是在开发使用过程中也不乏官方程序自身的一些安全问题。我们在处理应急响应事件时经常遇到这么一种情况,客户网站代码是外包的,也就是第三方公司负责开发,而部署可能是由客户内部运维人员负责。暂不说他们对于中间件安全的重视程度与了解程度,只谈发现漏洞后如何处理,便是一团乱。开发商推卸说这并不是代码上的问题,他们完全是按照安全开发流程(SDL)走的,所以跟他无关。
nginx文件漏洞_1.2 文件之解析漏洞
05-15
然而,Nginx模块存在一个解析漏洞,即攻击者可以通过构造特定的上请求,在服务器上执行任意代码。这种漏洞的成因是上模块在解析上请求时没有对上文件的内容进行充分的检查和过滤,导致攻击者可以在上...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值