近期,国外安全研究员Andrew Danau,在参加夺旗赛(CTF: Capture the Flag)期间,偶然发现php-fpm组件处理特定请求时存在缺陷:在特定Nginx配置下,特定构造的请求会造成php-fpm处理异常,进而导致远程执行任意代码.当前,作者已经在github上公布了相关漏洞信息及自动化利用程序.鉴于Nginx+PHP组合在Web应用开发领域拥有极高的市场占有率,该漏洞影响范围较为广泛. 漏洞概述 PHP-FPM在Nginx特定配置下存在任意代码执行漏洞.具体为: 使用Ng…

目录 Nginx常用配置下详解 1.Nginx虚拟主机 2.部署wordpress开源博客 3.部署discuz开源论坛 4.域名重定向 5.Nginx用户认证 6.Nginx访问日志配置 7.Nginx日志不记录静态文件和静态文件过期缓存 8.日志切割 9.Nginx配置防盗链 10.Nginx的访问控制 11.生成SSL秘钥加密网站 Nginx常用配置下详解 1.Nginx虚拟主机 所谓虚拟主机,在Web服务当中就是一个独立的网站站点,这个站点对应独立的域名(也有可能是IP或者端口),具有独…

漏洞背景:来自Wallarm的安全研究员Andrew Danau在9月14-16号举办的Real World CTF中,意外的向服务器发送%0a(换行符)时,服务器返回异常信息.由此发现了这个0day漏洞 漏洞描述:当Nginx使用特定的 fastcgi 配置时,存在远程代码执行漏洞,但这个配置并非是Nginx的默认配置.只有当fastcgi_split_path_info 字段被配置为 ^(.+?\.php)(/.*)$; 时,攻击者可以通过精心构造的payload,造成远程代码执行漏洞.由于…

写在之前的话 作为近年最为火热的文档型数据库,MongoDB受到了越来越多人的关注,但是由于国内的MongoDB相关技术分享屈指可数,不少朋友向我抱怨无从下手. <MongoDB干货系列>将从实际应用的角度来进行MongoDB的一些列干货的分享,将覆盖调优,troubleshooting等方面,希望能对大家带来帮助. 如果希望了解更多MongoDB基础的信息,还请大家Google下. 要保证数据库处于高效.稳定的状态,除了良好的硬件基础.高效高可用的数据库架构.贴合业务的数据模型之外,高效的查…

FPM制作Nginx的rpm软件包 FPM相关参数-s:指定源类型-t:指定目标类型,即想要制作为什么包-n:指定包的名字-v:指定包的版本号-C:指定打包的相对路径-d:指定依赖于哪些包-f:第二次包时目录下如果有同名安装包存在,则覆盖它-p:制作的rpm安装包存放路径,不想放在当前目录下就需要指定:–post-install:软件包安装完成之后所要运行的脚本:同–offer-install–pre-install:软件包安装完成之前所要运行的脚本:同–before-install–post-…

前言: 最近要搭建一个内部的wiki系统, 网上搜了一圈, 也从知乎上搜集了一些大神的评价和推荐. 重点找了几个开源的wiki系统, 不过发现他们都是采用php来实现的. 于是乎需要配置php环境, 来配合服务正常工作. 网上多是apache+php的组合方式, 不过由于个人是nginx脑残粉, 因此决定采用nginx+php fastcgi来配置下环境. 思路梳理: 云主机是ubuntu系统(主要觉得apt好用, 当然centos的yum也是利器). 对于php, php-fpm, 以及ngi…

这篇是Nginx安装配置PHP(FastCGI)环境的教程.Nginx不支持对外部程序的直接调用或者解析,所有的外部程序(包括PHP)必须通过FastCGI接口来调用. 一.什么是 FastCGI FastCGI是一个可伸缩地.高速地在HTTP server和动态脚本语言间通信的接口.多数流行的HTTP server都支持FastCGI,包括Apache.Nginx和lighttpd等,同时,FastCGI也被许多脚本语言所支持,其中就有PHP. FastCGI是从CGI发展改进而来的.传统CG…

Nginx配置phpmyadmin流程如下: 一.准备软件和环境(这里我以ubuntu16.04为例) 1.安装php7.1 sudo LC_ALL=C.UTF- add-apt-repository ppa:ondrej/php sudo apt-get update sudo apt--cli php7.-common php7.-curl \ php7.-dev php7.-fpm php7.-json php7.-mbstring php7.-mcrypt \ php7.-mysql p…

1. 安装nginx // 查询有没有nginx brew search nginx //开始安装nignx brew install nginx 2. 检查nignx是否安装成功 nginx -V 查看nginx版本及安装的本地位置 ngxin -v 查看nginx版本(此方法依然可以检测是否安装某一软件,如git,hg等) //同时你也可以在浏览器上输入,来查看运行结果,出现下图应该就可以了localhost:8080 3. nginx安装在哪?为什么会安装在这里? --prefix=/us…

nginx解析漏洞,配置不当,目录遍历漏洞复现 1.Ubuntu14.04安装nginx-php5-fpm 安装了nginx,需要安装以下依赖 sudo apt-get install libpcre3 libpcre3-dev sudo apt-get install zlib1g.dev sudo apt-get install libssl-dev 安装php: apt-get install php5-fpm apt-get install nginx 开启Nginx对php的支持,去掉…