nginx 0day漏洞上传图片可入侵

此条目由 admin 发表在 tech 分类目录，并贴了 0day、nginx 标签。将固定链接加入收藏夹。

21
May 10

一早起来震惊一下，很少听说nginx的漏洞，而且操作起来简单，文件改名上传就可执行了。

刚看到当当被拿下了。。。

临时解决办法：

关闭cgi.fix_pathinfo为0

或者

if ( $fastcgi_script_name ~ ..*/.*php ) {
return 403;
}

具体漏洞信息：http://www.80sec.com/nginx-securit.html

bordf on 2010 年 5 月 21 日 at 下午 5:08 said:

您好，看到你在我博客的留言了，可是解决方案在什么地方啊？我的博客上没记录，呵呵
mail：bordf@163.com

可以mail给我你的QQ吗？