本网站使用方法如下:1,直接用微信扫一扫添加公众号,用uc等浏览器扫手机客户端二维码或长按识别二维码可以到下载app界面。2,在手机上网的用户,需要把网址带http:// 发到微信中的任何一个好友或朋友圈,然后打开就可以用长按二维码识别公众号了

把公众号分享网加入收藏

一键 php 开发环境暗藏杀机

昨晚在某群讨论phpStudy时,某大牛直说,phpstudy的fastcgi安全性问题,并说了是解析漏洞a.jpg/1.php

本人也是一方良辰,对于此漏洞也分析过,这个漏洞是nginx和fastCGI下触发的,由于phpFPM默认只解析php文件,如果用解析漏洞访问会返回Access denied,所以我是没测试过这个漏洞的。

本着以理服人的原则,本人还是对phpstudy进行了一下测试,结果自己的脸肿的都不敢摸了。。


phpstudy刚刚更新,nginx更新到了1.9.9,增加了php7的支持,由于win10兼容问题,我这里只能启用php5.5
当我用/.php访问时
我他么尿了。。

已移除图像。



解析了,先不惊慌,能跨目录吗?


已移除图像。

不惊慌,跨目录怕啥,权限在这不是?
嗯?权限呢??
没错,是当前用户,所有目录畅行无阻
已移除图像。

已移除图像。

你可能会说,这有啥?别人能访问吗?
能,因为默认监听了所有IP
已移除图像。

触发漏洞的条件也是默认开启的。

已移除图像。



你可能疑问,这有啥?
我们设想一下,当你在咖啡厅,愉快的写着PHP,然后第二天,你的源码满天飞
这并不可怕,最可怕的是,什么都没发生。
就如同linux某编译器后门,多年后才被发现


为什么会发生?
1.默认监听了所有IP,内网都可以访问
2.触发漏洞的条件具备
3.fastCGI权限过高,导致硬盘访问无阻

你必须承认,在你写代码的时候不会过多考虑权限问题,甚至你会用一个update.php上传文件,这本身已经足够严重了。

SO?便捷的危险,复杂的安全,是时候选一个了!

最后可能有人会说,我不是windows啊?
那我只能说,我尽力了,但我救不了你
已移除图像。已移除图像。