位置:首页 > WIN服务器 >

百度云扫描报WebServer Fastcgi安全漏洞处理方法

字号+ 作者:micloud 来源:www.seoalphas.com 2019-04-20 07:54 评论(0)

以下是百度官方给出的漏洞扫描提示报告:

漏洞修复建议

  • 漏洞信息

    • 扫描时间:2019-04-16 19:14:33

    • 关联域名/IP:www.xxxxxx.com

    • 文件位置:http://www.xxxxx.com:999/themes/jquery/jquery-ui-1.8.16.custom.css/indexindex.php

    • 问题归属:应用服务相关

    • 问题类型:代码执行

    • 问题等级:高危

  • 问题详情

    WebServer Fastcgi配置不当,会造成其他文件(例如css,js,jpg等静态文件)被当成php脚本解析执行。当用户将恶意脚本webshell改为静态文件上传到webserver传递给后端php解析执行后,会让攻击者获得服务器的操作权限。

  • 解决方案

    配置webserver关闭cgi.fix_pathinfo为0 或者 配置webserver过滤特殊的php文件路径例如: if ( $fastcgi_script_name ~ ..*/.*php ) { return 403; }


FastCGI解析漏洞 WebServer Fastcgi配置不当,会造成其他文件(例如css,js,jpg等静态文件)被当成php脚本解析执行。当用户将恶意脚本webshell改为静态文件上传到webserver传递给后端php解析执行后,会让攻击者获得服务器的操作权限 高风险项漏洞地址(URL)。

出问题的服务器环境是windows server 2008R2,使用IIS配置的网站。

处理方法:

1、登陆服务器,打开iis,选中要配置的网站,在右侧功能选项中选择“处理程序映射”,双击,如下图:

百度云扫描报WebServer Fastcgi安全漏洞处理方法

2、进入配置列表后,找到FastCGI选项,双击进入,如下图:

百度云扫描报WebServer Fastcgi安全漏洞处理方法

3、在弹出的“编辑模块映射”窗口,点击“请求限制”,在新弹窗中勾选“仅当请求映射至以下内容时才调用处理程序”及“文件(F)”选项

百度云扫描报WebServer Fastcgi安全漏洞处理方法

至此,针对FastCGI的安全配置就完成了。

检测:

在网站目录下新建一个PHP文件,内容是输出PHP配置信息(phpinfo()),将文件重命名为i.jpg,访问http://www.website.com/i.jpg/1.php(1.jpg后面的php名字随便写),如果有漏洞则可以看到phpinfo()的信息,反之会返回404错误。


1.本站遵循行业规范,任何转载的稿件都会明确标注作者和来源;2.本站的原创文章,请转载时务必注明文章作者和来源,不尊重原创的行为我们将追究责任;3.作者投稿可能会经我们编辑修改或补充。

相关文章
  • 阿里云ecs使用filezilla搭建ftp本地无法连接问题

    阿里云ecs使用filezilla搭建ftp本地无法连接问题

    浏览次数:4072

  • 字体文件未找到错误:IIS服务器上部署svg/woff/woff2字体 MIMe类型配置

    字体文件未找到错误:IIS服务器上部署svg/woff/woff2字体 MIMe类型配置

    浏览次数:1215

  • windows2008系统 IIS7 下设置伪静态的方法

    windows2008系统 IIS7 下设置伪静态的方法

    浏览次数:1148

  • 远程桌面连接出现身份验证错误要求的函数不受支持

    远程桌面连接出现身份验证错误要求的函数不受支持

    浏览次数:1127

网友点评
评论区域