百度云扫描报WebServer Fastcgi安全漏洞处理方法

字号+ 作者:micloud 来源:www.seoalphas.com 2019-04-20 07:54 浏览次数(350)

FastCGI解析漏洞 WebServer Fastcgi配置不当,会造成其他文件(例如css,js,jpg等静态文件)被当成php脚本解析执行。当用

以下是百度官方给出的漏洞扫描提示报告:

漏洞修复建议

  • 漏洞信息

    • 扫描时间:2019-04-16 19:14:33

    • 关联域名/IP:www.xxxxxx.com

    • 文件位置:http://www.xxxxx.com:999/themes/jquery/jquery-ui-1.8.16.custom.css/indexindex.php

    • 问题归属:应用服务相关

    • 问题类型:代码执行

    • 问题等级:高危

  • 问题详情

    WebServer Fastcgi配置不当,会造成其他文件(例如css,js,jpg等静态文件)被当成php脚本解析执行。当用户将恶意脚本webshell改为静态文件上传到webserver传递给后端php解析执行后,会让攻击者获得服务器的操作权限。

  • 解决方案

    配置webserver关闭cgi.fix_pathinfo为0 或者 配置webserver过滤特殊的php文件路径例如: if ( $fastcgi_script_name ~ ..*/.*php ) { return 403; }


FastCGI解析漏洞 WebServer Fastcgi配置不当,会造成其他文件(例如css,js,jpg等静态文件)被当成php脚本解析执行。当用户将恶意脚本webshell改为静态文件上传到webserver传递给后端php解析执行后,会让攻击者获得服务器的操作权限 高风险项漏洞地址(URL)。

出问题的服务器环境是windows server 2008R2,使用IIS配置的网站。

处理方法:

1、登陆服务器,打开iis,选中要配置的网站,在右侧功能选项中选择“处理程序映射”,双击,如下图:

百度云扫描报WebServer Fastcgi安全漏洞处理方法

2、进入配置列表后,找到FastCGI选项,双击进入,如下图:

百度云扫描报WebServer Fastcgi安全漏洞处理方法

3、在弹出的“编辑模块映射”窗口,点击“请求限制”,在新弹窗中勾选“仅当请求映射至以下内容时才调用处理程序”及“文件(F)”选项

百度云扫描报WebServer Fastcgi安全漏洞处理方法

至此,针对FastCGI的安全配置就完成了。

检测:

在网站目录下新建一个PHP文件,内容是输出PHP配置信息(phpinfo()),将文件重命名为i.jpg,访问http://www.website.com/i.jpg/1.php(1.jpg后面的php名字随便写),如果有漏洞则可以看到phpinfo()的信息,反之会返回404错误。


标签

本站部分技术文章为参考网上实用内容发布,目的是记录踩坑经验,若未备注来源而侵犯了您原创文章权益,请联系博主删除;对文章有不同看法的朋友欢迎在评论区留言互动

相关文章
  • 阿里云ecs使用filezilla搭建ftp本地无法连接问题

    阿里云ecs使用filezilla搭建ftp本地无法连接问题

    浏览次数:3738

  • windows2008系统 IIS7 下设置伪静态的方法

    windows2008系统 IIS7 下设置伪静态的方法

    浏览次数:1038

  • 远程桌面连接出现身份验证错误要求的函数不受支持

    远程桌面连接出现身份验证错误要求的函数不受支持

    浏览次数:1024

  • 字体文件未找到错误:IIS服务器上部署svg/woff/woff2字体 MIMe类型配置

    字体文件未找到错误:IIS服务器上部署svg/woff/woff2字体 MIMe类型配置

    浏览次数:1001

  • windows server 2008 域名禁止ping

    windows server 2008 域名禁止ping

    浏览次数:624

  • 对应的服务器 tls 为 tls 1.0,小程序要求的TLS版本必须大于等于1.2问题

    对应的服务器 tls 为 tls 1.0,小程序要求的TLS版本必须大于等于1.2问题

    浏览次数:331

  • https网站解决block:mixed-content问题 https文件报错问题

    https网站解决block:mixed-content问题 https文件报错问题

    浏览次数:320

  • windows系统cmd命令黑窗口切换目录操作cd

    windows系统cmd命令黑窗口切换目录操作cd

    浏览次数:240

网友点评
功能开发中......其实是博主懒了而已......