by ·6条评论

     请看80sec公布的漏洞利用原理 http://www.80sec.com/nginx-securit.html

     请看cnbeta的新闻。http://www.cnbeta.com/articles/111711.htm

解决方案1:修改/usr/local/php/etc/php.ini将cgi.fix_pathinfo设为0 (注:前面可能有注释符号; 需要删除掉。),执行/usr/local/php/sbin/php-fpm restart重启。

lnmp一键安装包用户可以直接执行命 令:sed -i ‘s/; cgi.fix_pathinfo=0/cgi.fix_pathinfo=0/g’ /usr/local/php/etc/php.ini 再执行:/usr/local/php/sbin/php-fpm restart重启即可修复完成。

解决方案2:为nginx虚拟主机添加如下内容:

if ( $fastcgi_script_name ~ \..*\/.*php ) {
return 403;
}

此方法我的测试结果为二级目录就报错403错误了。不建议采用。

nginx真的存在文件类型解析漏洞吗? 结果证明是php-fpm的问题。汗·

—–以下转发文章。请用php fpm的同学速度修复

[……]

继续阅读

by ·0评论

2009年7月13日 虽然360 怎么怎么,不过确实为中国的网民做了贡献~
垃圾与不垃圾,好与不好,自己去评定~

————
三月 30th, 2009

08067 漏洞不逊于以前的微软的几个打漏洞~~ 当时08067漏洞公布的时候已经有益处分析,和利用程序。当时我曾经做了一个测试,写的一个b[……]

继续阅读