漏洞修复建议 配置webserver关闭cgi.fix_pathinfo为0

• 漏洞信息
  • 扫描时间：2018-07-23 10:33:01
  • 关联域名/IP：qrsun.cn
  • 文件位置：http://qrsun.cn/
  • 问题归属：应用服务相关
  • 问题类型：代码执行
  • 问题等级：高危
• 问题详情
  WebServer Fastcgi配置不当，会造成其他文件（例如css，js，jpg等静态文件）被当成php脚本解析执行。当用户将恶意脚本webshell改为静态文件上传到webserver传递给后端php解析执行后，会让攻击者获得服务器的操作权限
• 解决方案

  配置webserver关闭cgi.fix_pathinfo为0 或者 配置webserver过滤特殊的php文件路径例如： if ( $fastcgi_script_name ~ ..*/.*php ) { return 403; }

  实际上,我们去php.ini 里面把 cgi.discard_path=0 设置之后,网站根本无法打开php了,提示access denyed.

既然不能关,那只好对它进行过滤了,去网站配置文件nginx 里面添加过滤 ,下面红色的部分是过滤后的结果.

server {
        listen       80;
        server_name  www.qrsun.cn qrsun.cn;
        root   "C:/wwwroot/qrsun";
        location / {
            index  index.html index.htm index.php;
            #autoindex  on;
        }
        location ~ \.php(.*)$ {
            fastcgi_pass   127.0.0.1:9000;
            fastcgi_index  index.php;
            fastcgi_split_path_info  ^((?U).+\.php)(/?.+)$;
            fastcgi_param  SCRIPT_FILENAME  $document_root$fastcgi_script_name;
            fastcgi_param  PATH_INFO  $fastcgi_path_info;
            fastcgi_param  PATH_TRANSLATED  $document_root$fastcgi_path_info;
            include        fastcgi_params;
        }
		
		location ~ /(data|uploads|templets|datadir|a|images)/.*\.(php|php5)?$ {
deny all;
}
if ( $fastcgi_script_name ~ ..*/.*php ) {
 return 403;
 }

}