Nginx

防止 nginx 將圖像作為 PHP 腳本執行

  • January 13, 2017

我的網站已被上傳包含 PHP 程式碼的圖像的使用者入侵。此程式碼允許上傳文件,並且他上傳了一個惡意 PHP 腳本。

他能夠在此 URL 上使用 GET 呼叫他的“image-php”:

http://mypwnedwebsite.com/image.jpg/.php

如何配置 nginx 以防止這種行為?我的意思是,對於一個簡單的/.php,它就像一切都是 PHP 一樣,從我的角度來看這是錯誤的。

我實際上有一個“經典”的 nginx 1.6.2 配置,我認為這部分是最相關的:

location ~ \.php$
   {
       fastcgi_pass 127.0.0.1:9000;
       fastcgi_index index.php;
       fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
       fastcgi_read_timeout 120;
       include /etc/nginx/fastcgi_params;
   }

這應該有效。

location ~ \.php$
   {
       fastcgi_pass 127.0.0.1:9000;
       fastcgi_index index.php;
       fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
       fastcgi_read_timeout 120;
       include /etc/nginx/fastcgi_params;
       try_files $uri $uri/ /404.html;
   }

它嘗試查找 $uri,如果不是文件夾,則拋出 404 錯誤。

引用自:https://serverfault.com/questions/826045

相關問答

Apache-2.2

向日誌文件中具有不同域/url 的網站發出的請求,黑客企圖?

  • January 21, 2016
檢視問答
Nginx

Nginx - fastcgi 記憶體不適用於啟用重寫的 php 頁面

  • October 1, 2022
檢視問答
Nginx

Nginx & 多個 php-fpm 版本

  • September 2, 2022
檢視問答
Nginx

nginx php文件自動下載而不是在http上執行並且在https上找不到404

  • July 24, 2022
檢視問答
Nginx

使用子域通過 NGINX 將 HTTP(或 TCP)請求轉發到特定埠

  • April 21, 2022
檢視問答
Nginx

nginx大文件上傳限制

  • February 13, 2022
檢視問答