由于nginx早期的
版本,至少我在用 0.9.X 的版本依旧存在漏洞,导致处理过的图片可以执行php代码
简单的说就是写好的php代码将扩展名改为图片,如 xx.jpg 文件后通过 discuz 等开源论坛的上传功能上传后可以通过 http://xxx.com/bbs/data/xxxxxxxx/xx.jpg/1.php 方式执行 xx.php里面的代码
对于discuz 论坛使用nginx的服务器可以使用rewrite方式防止代码执行
rewrite ^/bbs/data/.*\.(jsp|php)$ http://www.xxx.com/ break;
其他如source及其他文件夹下也存在各种各样的问题,简单的
处理方法也是禁止php的运行
相关文章
