设为首页收藏本站
开启辅助访问 切换到宽版

天空小小岛技术论坛

 找回密码
 注册
搜索
天空小小岛技术网站»论坛 系统环境 Nginx Nginx %00空字节执行任意代码(php)漏洞
返回列表 发新帖
查看: 6607|回复: 0
打印 上一主题 下一主题

Nginx %00空字节执行任意代码(php)漏洞

[复制链接]
跳转到指定楼层
1#
s.Bo 发表于 2011-8-26 08:56:56 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
攻击者可以通 PHP-FastCGI 将任何后缀的文件当成PHP来执行

影响版本:
nginx 0.5.*
nginx 0.6.*
nginx 0.7 <= 0.7.65
nginx 0.8 <= 0.8.37

Ngnix在遇到%00空字节时与后端FastCGI处理不一致,导致可以在图片中嵌入PHP代码然后通过访问xxx.jpg%00.php来执行其中的代码

参考
https://nealpoole.com/blog/2011/ ... -versions-of-nginx/


解决方案

升级nginx版本
http://nginx.org
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册

本版积分规则

小黑屋|手机版|Archiver|天空小小岛  |京ICP备2025130156号|

GMT+8, 2025-6-22 02:01 , Processed in 0.107993 second(s), 17 queries , Gzip On.

Powered by Discuz! X3.1

© 2001-2013 Comsenz Inc.

快速回复 返回顶部 返回列表