漏洞介绍:nginx是一款高性能的web服务器,使用非常广泛,其不仅经常被用作反向代理,也可以非常好的支持PHP的运行。80sec发现 其中存在一个较为严重的安全问题,默认情况下可能导致服务器错误的将任何类型的文件以PHP的方式进行解析,这将导致严重的安全问题,使得恶意的攻击者可 能攻陷支持php的nginx服务器。
漏洞分析:nginx默认以cgi的方式支持php的运行,譬如在配置文件当中可以以
location ~ \.php$ {
root html;
fastcgi_pass 127.0.0.1:9000;
fastcgi_index index.php;
fastcgi_param SCRIPT_FILENAME /scripts$fastcgi_script_name;
include fastcgi_params;
}
{ 撰文/bones7456 }
现在,很多人都知道,Python 里有个 SimpleHTTPServer,可以拿来方便地共享文件。比如,你要发送某个文件给局域网里的同学,你只要 cd 到所在路径,然后执行这么一行:
python -m SimpleHTTPServer
人家就可以通过 http://你的IP:8000 来访问你要共享的文件了。像我早已把这个命令做了 alias。但是,某一天,你需要从同学哪里复制一个文件到本机,然后你就会跟你同学说,XX,共享下某目录。当你以为可以用 HTTP 来访问他的 8000 端口的时候,他却告诉你,不好意思,我是 Windows 啦~~当然你可以选择在他 Windows 里装个 Python,也可以选择使用 Samba、FTP 等其他方式,但是有没有和之前一样简单的方式呢~当然了,这时候,你就需要一个支持上传的简单 HTTP Server,也就是我这个:SimpleHTTPServerWithUpload.py, 哈哈。然后你开个服务,让人家上传即可。
其实这个就是修改自 SimpleHTTPServer 的,只不过我给它加上了最原始的上传功能,安全性方面没有验证过,不过理论上应该不会没人一直开着这个吧?另外,我对 RFC1867 的理解不一定透彻,所以,Use on your own risk!
截图如下:
代码在 此,单文件、零配置,直接用 Python 运行。
Licess注:比较喜欢这中小软件,如果没有安装python,centos直接执行yum install python,debian执行apt-get install python 即可。
{ Source. Thanks bones7456. }
有几位lnmp的用户在 论坛反应pureftpd覆盖文件的时候无法覆盖,通过检查发现pureftpd配置文件错误。
解决方法:
在/usr/local/pureftpd/pure-ftpd.conf 文件末尾加上
AllowOverwrite on
AllowStoreRestart on
再执行/root/pureftpd restart重启即可。
注:5月19日14点之后下载的不需要更改此配置文件。
MOTHERSLOVE – 注册.com/.net/.org/.biz/.us域名 8.81 美元(原价 9.69 美元)
SWITCH2NC – 转入.com/.net 域名 6.99 美元
注:注册和转入域名都可以得到免费的WhoisGuard(隐私保 护)和 SSL。
免费SSL需点击域名下面的“Get Comodo PositiveSSL for FREE”获得。
今天下午,世界上最伟大的云存储服务之一——Dropbox被证实无法从中国地区访问,客户端和网站均无法正常连接和登录。
name.com 2010年5月优惠码
COMWHATMAY - .com 或 .net 域名续费8.20美元
FREEWHOIS - 免费Private Whois优惠码
MAYHEM - 注册.com/.net/.ws/.me 域名8.15美元
点击查看大图
 |
 |
 |
 |