IIS7.5解析错误命令执行漏洞解决方案

一、漏洞介绍

漏洞影响 iis7 及IIS7.5 在使FastCGI方式调用php时，在php.ini里设置
cgi.fix_pathinfo=1
复制代码
使得访问任意文件URL时，在URL后面添加“/x.php”等字符时，该文件被iis当php文件代码解析。

如 http://127.0.0.1/1.gif 的内容如下：

当访问 http://127.0.0.1/1.gif/1.php 可以看到1.gif里的php代码被iis解析执行了。 那么“黑客”在具体攻击网站的时候，先可以通过网站提供的图片上传功能（也可以是其他的手段）上传一个包含了恶意PHP代码的图片文件。然后通过上面描叙方法，让iis解析执行任意恶意的php代码，控制网站及主机，最终导致网站被“脱库”、“挂马”、“植入非法seo链接”等等严重后果。

二、解决方案

第1种方案：继续使用FastCGI方式调用PHP，要解决这个安全问题可以在php.ini里设置 cgi.fix_pathinfo=0 ，修改保存后建议重启iis(注意可能影响到某些应用程序功能)。

第2种方案：使用ISAPI的方式调用PHP。（注意：PHP5.3.10已经摒弃了 ISAPI 方式）具体参考：http://hi.baidu.com/mr_itzhao/item/97b380bbb61db0f063388e70。

第3种方案：可以使用其他web服务器软件，如apache等。

网站栏目：IIS7.5解析错误命令执行漏洞解决方案
网站地址：http://www.shufengxianlan.com/qtweb/news22/323822.html

网站建设、网络推广公司-创新互联，是专注品牌与效果的网站制作，网络营销seo公司；服务项目有等

广告

声明：本网站发布的内容（图片、视频和文字）以用户投稿、用户转载内容为主，如果涉及侵权请尽快告知，我们将会在第一时间删除。文章观点不代表本网站立场，如需处理请联系客服。电话：028-86922220；邮箱：631063699@qq.com。内容未经允许不得转载，或转载时需注明来源： 创新互联