nginx是一個高性能的HTTP和反向代理服務器，也是一個IMAP/POP3/SMTP代理服務器。近年來越來越多的網站管理員放棄了臃腫的Apache而選用nginx，不過看起來一直廣受好評的nginx最近遇到了不小的麻煩，國內一個名為“80sec"的小組發現了nginx的一個巨大漏洞。

國內安全小組發現驚天漏洞

“80sec”小組于5.20日下午6點發布了一個關于nginx的漏洞通告，表示由于該漏洞的存在，使用nginx+php構建的網站都會因此變得不再安全，只要用戶擁有上傳圖片的權限，就可以利用此漏洞輕松入侵網站服務器，直到5.21日凌晨，nginx尚未發布修復該漏洞的補丁。

根據Netcraft的統計，直到2010年4月，全球一共有1300萬臺服務器運行著nginx程序；非常保守的估計，其中至少有600萬臺服務器運行著nginx并啟用了php支持；繼續保守的估計，其中有1/6，也就是100萬臺服務器允許用戶上傳圖片。也就是說，如果本次的nginx漏洞被別有用心的人利用，后果不堪設想。

全球至少有1300萬臺服務器運行著nginx

黑客蠢蠢欲動

“80sec”小組在其博客表示，截止到現在已經有不少的網站被黑客惡意入侵，而且據稱已經有黑客組織寫好了掃描器，準備“從排名大，流量多，PR大的站開始掃描”

臨時性解決方法

鑒于nginx官方還沒有發布相關修復措施，發現此漏洞的“80sec”小組已經提供了一些臨時解決方法。

1，修改php.ini文件

設置php.ini的cgi.fix_pathinfo為0，重啟php服務。這是最方便的方法，但是網站的一些功能可能會受到影響。

2，修改nginx配置文件

對nginx的vhost配置進行修改，禁止相關操作，然后重新啟動nginx服務。

3，關閉上傳功能

臨時性關閉網站中的所有上傳功能，包括禁止論壇上傳頭像之類的權限，等待官方發布對此漏洞的修復措施。

與50位技術專家面對面20年技術見證，附贈技術全景圖

總結

以上是生活随笔為你收集整理的nginx 上传文件漏洞_nginx爆惊天漏洞 上传图片就能入侵服务器的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。