IT之道-艾锑知道

您当前位置: 主页 > 资讯动态 > 艾锑分享 >

IIS的FastCGI漏洞处理方法-IT运维


2020-06-03 20:33 作者:admin

IIS的FastCGI漏洞处理方法-IT运维

 
IT运维工作,以服务为中心,以稳定、安全、高效为三个基本点,确保公司的互联网业务能够 7×24 小时为您提供高质量的服务。
 
下面由网络运维工程师为您讲解专业的解决方案 
 
FastCGI解析漏洞 WebServer Fastcgi配置不当,会造成其他文件(例如css,js,jpg等静态文件)被当成php脚本解析执行。当用户将恶意脚本webshell改为静态文件上传到webserver传递给后端php解析执行后,会让攻击者获得服务器的操作权限 高风险项漏洞地址(URL) 参数 请求方法 发现时间 恢复时间 持续时间
 GET 7月16日 10:24 未恢复 至今解决方案配置webserver关闭cgi.fix_pathinfo为0 或者 配置webserver过滤特殊的php文件路径例如:

1
2
3
4
if ( $fastcgi_script_name ~ ..*/.*php )
{
return 403;
}
一般来说网上多是nginx用户有此漏洞,此处客户的环境是windows server 2008R2的IIS,这里我在‘处理程序映射’里找到php的双击进入此界面
 
进入‘请求限制’
 
专业:服务器运维  机房弱电布线   中小企业网络维护  IT外包
确定后就可以了。
测试:
在服务器上根目录新建一个phpinfo()的JPG文件test.jpg,访问http://www.xxx.com/test.jpg/1.php(test.jpg后面的php名字随便写),如果有漏洞则可以看到phpinfo()的信息,反之会返回404错误。
后记:
nginx里面处理此问题,网上的解决方法是写入
try_files $fastcgi_script_name =404;
到fastcgi.conf里面,然后在location中引用

1
2
3
4
location ~ \.php$ {
fastcgi_pass unix:/tmp/phpfpm/php-fpm.sock;
include fastcgi.conf;
}
 
以上文章由北京艾锑无限科技发展有限公司整理
 

相关文章

IT外包服务
二维码 关闭