FastCGI解析漏洞robots.txt/a.php
云检测提示有安全漏洞 用iis7+php5.5.7搭建的
robots.txt/a.php
按照官方的提示修改php.ini文件,将cgi.fix_pathinfo的值设置为0。完成后请重启PHP和NGINX(IIS)依然可以访问,提交了工单 要么付费要么自己解决 来求助老司机了。老司机解答尽量详细点 感谢了
搞定了cgi.fix_pathinfo 默认是没开启的去掉前面分号就可以了 重启就可以了 在这里更新下帮主小白童鞋
版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
-
问题描述: 您在使用IIS7搭配PHP5.5.7搭建的网站中,云安全中心检测到存在安全漏洞,具体表现为可以通过
robots.txt/a.php访问。根据官方建议,您已尝试修改php.ini文件,将cgi.fix_pathinfo的值设置为0,并重启了PHP和IIS服务。尽管如此,该问题仍然存在,且提交工单后得到的反馈是需要付费解决或自行处理。 -
原因分析:
- 配置未生效:可能修改的php.ini文件并非当前PHP使用的配置文件,或者修改未被正确保存。
- IIS配置问题:IIS的配置可能未正确调整以配合php.ini的更改,导致漏洞依然可被利用。
- 缓存问题:服务器或浏览器缓存可能导致旧配置仍在生效,即使重启服务后也未能立即反映最新更改。
-
解决步骤:
-
确认php.ini路径与修改:
- 确认修改的是正确的php.ini文件位置。可以在PHP的命令行模式下运行
php --ini来查找实际使用的php.ini路径。 - 确保
cgi.fix_pathinfo=0前没有分号(;),表示这一行是激活状态,并且保存文件。
- 确认修改的是正确的php.ini文件位置。可以在PHP的命令行模式下运行
-
重启服务确保生效:
- 确认IIS服务以及FastCGI对于PHP的配置已更新。如果使用FastCGI,请确保在IIS管理器中对FastCGI设置进行了正确的配置,并重启IIS服务。
- 如果有使用PHP Manager for IIS插件,可以在此处直接重启PHP池。
-
清除缓存验证:
- 清理服务器端的Web服务器缓存,包括IIS的输出缓存等。
- 在客户端清除浏览器缓存,尝试从不同浏览器或设备访问
robots.txt/a.php,确认漏洞是否已被修复。
-
检查权限与执行策略:
- 确认IIS站点对应的文件夹权限设置合理,避免因权限过高导致的安全风险。
-
-
注意事项:
- 安全性:在进行配置更改时,注意备份原有的配置文件,以防配置错误导致服务不可用。
- 测试环境验证:在生产环境之前,最好在测试环境中先行验证配置更改的效果,以减少对线上业务的影响。
- 持续监控:即便问题看似解决,也应继续通过云安全中心监控系统安全状况,及时发现并处理新出现的安全威胁。
-
进一步支持:
- 若以上步骤操作无误后问题依旧,建议收集详细的错误日志、配置文件内容及操作过程,再次联系阿里云技术支持,提供这些详细信息以便获得更专业的帮助。
参考您的后续反馈,实际上您已经解决了cgi.fix_pathinfo的问题,只需去掉前面的分号并重启服务即可。这说明之前的配置调整未完全按照要求执行,或是忽略了配置文件中的注释符号。希望上述补充信息能帮助您更好地理解问题解决的过程及原理,未来遇到类似情况时能够更快地定位和解决问题。
