军哥看下,反馈一个重要的问题
一直使用军哥的环境,这次新搬家,重新装的lnmp1.6版,搬家完后发现dz3.4论坛后台里的ucenter无法正常访问了!现象是:
论坛后台点击ucenter访问,显示的是一个嵌套下的论坛后台,也就是说你访问后台后再点ucenter会在网站后台画面嵌套又出现一个一样的ucenter
网上各种网罗后发现有人遇到了一样的问题,贴出原因和解决方法如下:
static/image/hrline/line1.png
原来lnmp.org默认是把 pathinfo 关闭的?把PHP的PATH_INFO打开就可以了。
方法是:
nginx默认是不会设置PATH_INFO环境变量的的值,需要php使用cgi.fix_pathinfo=1来完成路径信息的获取,但同时会带来安全隐患,需要把cgi.fix_pathinfo=0设置为0,这样php就获取不到PATH_INFO信息,那些依赖PATH_INFO进行URL美化的程序就失效了。
php.ini 里面 cgi.fix_pathinfo=1 即可
static/image/hrline/line1.png
但是科普后发现填写1会有很大危害,容易被入侵挂马!如下:
举例来说,开启的危害就是假设你的网站有http://xx.com/a.jpg这样的一张图片,我通过http://xx.com/a.jpg/foo.php就可以查看到这个文件的二进制内容,意思就是可以通过php来执行它.问题就来了,如果你的网站允许用户上传图片,那么用户就可以构造一些恶意的代码,并伪装成图片上传.然后通过上面说的那种方式就可以在你网站的服务器上面通过php跑恶意代码了.
static/image/hrline/line1.png
希望军哥能出一个解决方案,技能让ucenter正常访问又能杜绝这个危害!
discuz x 后台ucenter是嵌套,但是和cgi.fix_pathinfo没关系
我这discuz x也从discuz 6.0一直到discuz x 3.4也是一路搬过来的,配置文件和环境都是lnmp直接生成的
你这不能访问具体是什么错误信息或什么表现? licess 发表于 2020-6-3 17:03
discuz x 后台ucenter是嵌套,但是和cgi.fix_pathinfo没关系
我这discuz x也从discuz 6.0一直到discuz x 3. ...
我不清楚有什么关联,但是作者是那样解决的,我照着操作后问题确实解决了。
所谓的嵌套不是说ucenter是dz后台里的一部分的意思,这里你要看明白。
而是点击ucenter应该是画面转成ucenter的后台,但是没有转成,而是dz后台的模样不变,但是里面内容又有一个dz后台的样子在里面,是这样的嵌套!
直接域名+uc_server访问应该是ucenter后台才对是吧,但是显示的是dz后台不是ucenter后台。
我也是一直使用lnmp+论坛,直到这次搬迁到阿里云,偶然发现了这个问题,因为不常用ucenter。
我也确实是那个方法解决的,具体的我也不明白,觉得有用就来反馈了。
既然有博主跟我是一样的情况,就说明不是个例,提供给军哥看看能不能两全其美
你那边php是什么版本,是否改动过配置文件
我这边测试复现不了问题,无法确定什么问题也无法给出具体的解决方法
你说的cgi.fix_pathinfo漏洞的利用方法,即使是改成0也是不会执行的,你可以在你自己的环境里测试 不好意思军哥好几天没有上线了
PHP版本7.0.33
看到说是高版本php不会有问题,我也不确定这个版本7.0.33能不能行 php 7.0是存在感最低的版本,不像php 5.6兼容性强,性能什么的不如php 7.2+等还支持的版本
discuz x 3.4的话直接上php 7.2或以上版本就行了
是不是存在漏洞,都有漏洞利用方法一测便知
页:
[1]