FastCGI解析漏洞 cgi.fix_pathinfo百度云观测给出的解决办法

漏洞详情

 

概述

详情

危险评级

FastCGI解析漏洞

WebServer Fastcgi配置不当，会造成其他文件（例如css，js，jpg等静态文件）被当成php脚本解析执行。当用户将恶意脚本webshell改为静态文件上传到webserver传递给后端php解析执行后，会让攻击者获得服务器的操作权限

高

风险项

漏洞地址（URL） 参数 请求方法 发现时间 恢复时间 持续时间

http://www.xxx.com/		GET	6月10日 14:09	未恢复	至今

解决方案

配置webserver关闭cgi.fix_pathinfo为0 或者 配置webserver过滤特殊的php文件路径例如：

if ( $fastcgi_script_name ~ ..*/.*php ) {

return 403;

}

安全漏洞危害

 

被黑客入侵，引起 数据库泄露网站被篡改等

 

今日小记

 

今天百度云观测给我的小站报了警，说FastCGI解析漏洞，而且自己都把php都禁用了，纳闷怎么还报！不过既然百度云观测给出来办法就照做呗！安全第一！百度云观测给出两种解决办法，图简省，我用了第一种，不过好像以后用php有些功能可能有问题，所以转载在这里备个份，以后要用php的时候还得改过来！