IIS7&7.5图片解析php漏洞

举例来说,开启的危害就是假设你的网站有http://xx.com/a.jpg这样的一张图片,我通过http://xx.com/a.jpg/foo.php就可以查看到这个文件的二进制内容,意思就是可以通过php来执行它.问题就来了,如果你的网站允许用户上传图片,那么用户就可以构造一些恶意的代码,并伪装成图片上传.然后通过上面说的那种方式就可以在你网站的服务器上面通过php跑恶意代码了.

解决方案：

1.      配置cgi.pathinfo(php.ini中)为0并重启php-cgi程序

2.      在”Handler Mapping”勾选php-cgi.exe程序的”Invoke handler only if request is mapped to”

上一篇: Web 服务器拒绝为请求提供服务，因为该请求实体过大。
下一篇: IIs7.5隐藏X-Powered-By信息
文章来自: 本站原创
引用通告: 查看所有引用 | 我要引用此文章
Tags: iis
相关日志: