天空小小岛技术网站
标题:
Nginx %00空字节执行任意代码(php)漏洞
[打印本页]
作者:
s.Bo
时间:
2011-8-26 08:56
标题:
Nginx %00空字节执行任意代码(php)漏洞
攻击者可以通 PHP-FastCGI 将任何后缀的文件当成PHP来执行
影响版本:
nginx 0.5.*
nginx 0.6.*
nginx 0.7 <= 0.7.65
nginx 0.8 <= 0.8.37
Ngnix在遇到%00空字节时与后端FastCGI处理不一致,导致可以在图片中嵌入PHP代码然后通过访问xxx.jpg%00.php来执行其中的代码
参考
https://nealpoole.com/blog/2011/ ... -versions-of-nginx/
解决方案
升级nginx版本
http://nginx.org
欢迎光临 天空小小岛技术网站 (http://tkxxd.net/)
Powered by Discuz! X3.1