文本内容:
“IIS75解析错误命令执行漏洞”解决方案WEB安全电脑资料“IIS
7.5解析错误命令执行漏洞”解决方案
一、漏洞介绍漏洞影响IIS7及IIS
7.5在使FastCGI方式调用php时,在php.ini里设置cgi.fix_pathinfo=1复制代码使得访问任意文件URL时,在URL后面添加“/x.php”等字符时,该文件被iis当php文件代码解析,如
127.
0.
0.1/
1.gif的内容如下复制代码当访问
127.
0.
0.1/
1.gif/
1.php可以看到
1.gif里的php代码被iis解析执行了,
二、解决方案第1种方案继续使用FastCGI方式调用PHP,要解决这个安全问题可以在php.ini里设置cgi.fix_pathinfo=0,修改保存后建议重启iis注意可能影响到某些应用程序功能第2种方案使用ISAPI的方式调用PHP(注意PHP
5.
3.10已经摒弃了ISAPI方式)具体参考hi.baidu./mr_itzhao/item/97b380bbb61db0f063388e70第3种方案可以使用其他web服务器软件,如apache等模板,内容仅供参考 。