日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
IIS7.5解析錯(cuò)誤命令執(zhí)行漏洞解決方案

一、漏洞介紹

漏洞影響 iis7 及IIS7.5 在使FastCGI方式調(diào)用php時(shí),在php.ini里設(shè)置
cgi.fix_pathinfo=1
復(fù)制代碼
使得訪問任意文件URL時(shí),在URL后面添加“/x.php”等字符時(shí),該文件被iis當(dāng)php文件代碼解析。

如 http://127.0.0.1/1.gif 的內(nèi)容如下:

當(dāng)訪問 http://127.0.0.1/1.gif/1.php 可以看到1.gif里的php代碼被iis解析執(zhí)行了。 那么“黑客”在具體攻擊網(wǎng)站的時(shí)候,先可以通過網(wǎng)站提供的圖片上傳功能(也可以是其他的手段)上傳一個(gè)包含了惡意PHP代碼的圖片文件。然后通過上面描敘方法,讓iis解析執(zhí)行任意惡意的php代碼,控制網(wǎng)站及主機(jī),最終導(dǎo)致網(wǎng)站被“脫庫”、“掛馬”、“植入非法seo鏈接”等等嚴(yán)重后果。

二、解決方案

第1種方案:繼續(xù)使用FastCGI方式調(diào)用PHP,要解決這個(gè)安全問題可以在php.ini里設(shè)置 cgi.fix_pathinfo=0 ,修改保存后建議重啟iis(注意可能影響到某些應(yīng)用程序功能)。

第2種方案:使用ISAPI的方式調(diào)用PHP。(注意:PHP5.3.10已經(jīng)摒棄了 ISAPI 方式)具體參考:http://hi.baidu.com/mr_itzhao/item/97b380bbb61db0f063388e70。

第3種方案:可以使用其他web服務(wù)器軟件,如apache等。


網(wǎng)頁題目:IIS7.5解析錯(cuò)誤命令執(zhí)行漏洞解決方案
瀏覽路徑:http://m.5511xx.com/article/cocpesp.html