IIS+PHP fastcgi模式 pathinfo取值错误任意代码执行漏洞?

  • 回答 (2)
  • 关注 (0)
  • 查看 (326)

IIS+PHP fastcgi模式 pathinfo取值错误任意代码执行漏洞用的环境如下IIS、PHP、MYSQL环境(Windows2008 64位 含腾云助手) (50GB)操作系统:Windows Server 2008 R2 企业版 SP1 64位集成软件:腾云助手IIS版、MySQL、PHP、PhpMyAdmin、Filezilla Server、Memcached、Jmail用的网站程序织梦5.7sp1搭建出来的网站经360监测出来 有 IIS+PHP fastcgi模式 pathinfo取值错误任意代码执行漏洞 但是不知道该怎么去修复,360给的修复方案如下:危害:p=23, null, left攻击者可以利用该漏洞直接在网站执行任意代码,可能直接控制网站服务器,盗取网站数据,影响网站的正常运营。/p解决方案:p=23, null, left一、更换PHP默认的Fastcgi模式为ISAPI模式(只能运行于Windows环境)/p1.下载PHP的ZIP文件包,下载地址uhttp://www.php.net[/u](注意版本要对应)[/p][p=23, null, left]2.将sapi目录中的:php4isapi.dll复制到c:\php目录中/p3.进入虚拟主机管理平台的"网站管理"-"虚拟主机"--服务器设置中,修改PHP的影射,将原来的:.php,C:\PHP\php.exe,5,GET,HEAD,POST,TRACE|/p改成:.php,C:\PHP\php4isapi.dll,5,GET,HEAD,POST,TRACE|/p4.(IIS 6才需要)打开IIS管理器,点击Web服务扩展,点击php的属性,“要求的文件”---添中--选中“C:\PHP\php4isapi.dll”,确定后,PHP就可以调用。/p二、在条件允许的情况下(咨询网站工程师),更改php.ini中的配置参数cgi.fix_pathinfo值为0/p我自己看的是一脸懵逼,完全不知道该怎么弄..... 希望能在腾讯云问答社区得到帮助 指点下这个漏洞该怎样修复size=12px

大禹兄大禹兄提问于
Darker我要发出我的死亡通知单了!回答于
军哥

重庆雷驰信息技术有限公司 · 经理 (已认证)

老司机开车啦...回答于

不建议变更为ISAPI模式,效率很低.

直接修改php.ini配置文件把cgi.fix_pathinfo值改为0 就行了.

扫码关注云+社区

领取腾讯云代金券