开发者社区> 问答> 正文

网站检测出现严重IIS7.0/7.5服务器PHP解析漏洞阿里云有没有解决方法?

]严重[

IIS 7.0/7.5服务器PHP解析漏洞
WASC Threat Classification


020发现时间:2013-08-02
020漏洞类型:代码执行
020所属建站程序:其他
020所属服务器类型:IIS
020所属编程语言:PHP
020描述:目标站点存在服务器解析漏洞。1. 解析漏洞是指服务器解析存在缺陷,会以错误的方式解析文件;
2. 由于IIS 7.0/7.5 服务器在解析PHP文件时存在缺陷,导致以PHP构造文件后缀会被服务器以PHP格式解析。
020危害:可被攻击者结合上传漏洞(上传含有恶意脚本的伪造图片或文本文件等),实现执行任意代码,植入后门,进而控制服务器等。 020解决方案:第1种方案:可以在php.ini里设置 cgi.fix_pathinfo=0 ,修改保存后建议重启IIS(注意可能影响到某些应用程序功能,此方案继续使用FastCGI方式调用PHP。
第2种方案:使用ISAPI的方式调用PHP(注意:PHP5.3.10已经摒弃了 ISAPI 方式)。
第3种方案:可以使用其他WEB服务器软件,如Apache等
用第一种方法后网站的伪静态页面就打不开了

展开
收起
wuquhe.com 2013-11-29 21:55:16 10563 0
1 条回答
写回答
取消 提交回答
  • 论坛总版主
    建议升级PHP
    2013-12-02 20:18:39
    赞同 展开评论 打赏
问答排行榜
最热
最新

相关电子书

更多
阿里云栖开发者沙龙PHP技术专场-直面PHP微服务架构挑战-高驰涛 立即下载
PHP安全开发:从白帽角度做安全 立即下载
PHP 2017.北京 全球开发者大会——高可用的PHP 立即下载