关于thinkPHP3.2中的rewrite不严谨问题会导致网站被注入以及nginx配置中的if多条件判断问题-阿里云阻止指host访问

本文主要是介绍关于thinkPHP3.2中的rewrite不严谨问题会导致网站被注入以及nginx配置中的if多条件判断问题-阿里云阻止指host访问,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

一、关于thinkPHP3.2中的rewrite不严谨问题会导致网站被注入

    thinkPHP3.2的rewrite问题,之前也没在意过,但是今天浏览了一下服务器的一套CMS的相关东西,因为这套CMS是使用thinkPHP3.2搭建的,在浏览代码时发现其目录架构与目前的流行架构不一样,其index.php是写在应用程序的根目录下,而现在的index.php一般都写在public目录(只允许对外访问的目录下面),于是我顺便看了一下涉及此CMS平台的nginx配置,配置conf基本和thinkphp官网的配置一样,在thinkphp网站上也能看到大多数这样的配置,publish:September 14, 2018 -Friday 如下:

server {listen   80;server_name  domain.com;error_page   404              /404.html;error_page   500 502 503 504  /50x.html;#这个location块处理动态资源请求.location ~  \.php   {root /data0/htdocs/www;fastcgi_pass   127.0.0.1:9000;include        fastcgi.conf;       }#这个location处理能处理所有的静态资源location / {root   /home/htdocs/www;index  index.php index.html index.htm;if (!-e $request_filename){rewrite ^(.*)$ /index.php?s=$1 last;}}
}

    看了一眼之后突然觉得这个有问题,在执行最后一步rewrite之前的判断是判断这个文件是否存在,if (!-e $request_filename)。如果不存在才会执行由index.php入口进行请求。但这明显是有问题的,那么如果直接请求存在的PHP文件或者其它文件呢?是不是也能请求(是否会造成问题不论,至少突破了你的设防)。由于我的代码版本中存在一些shell脚本以及一些python代码,于是我尝试直接访问python代码文件,发现其能将python文件下载下来,这就是很大的问题了。万一shell或者python代码块中有服务器密码或什么账号之类的东西,这个服务器就要被攻击玩完了。可见thinkphp升级到5的必要性了,thinkPHP5中的框架已经是大众架构了(对外只允许访问Public目录,index.php和其它的css/js等资源文件都放在此目录。当然对于我现在的情况,也懒得去升级了。不改代码的话在nginx层加上配置:

#将不允许直接访问的文件后缀列在此处
location ~ \.(py|sh)$ {return 404;
}

 如果你方便去改代码,建议将thinkphp3.2的PHP的入口文件移动到Public目录下,同时将其它robots.txt文件也放入。然后修改thinkphp3.2的入口文件如下:

<?php
// +----------------------------------------------------------------------
// | ThinkPHP [ WE CAN DO IT JUST THINK ]
// +----------------------------------------------------------------------
// | Copyright (c) 2006-2014 http://thinkphp.cn All rights reserved.
// +----------------------------------------------------------------------
// | Licensed ( http://www.apache.org/licenses/LICENSE-2.0 )
// +----------------------------------------------------------------------
// | Author: liu21st <liu21st@gmail.com>
// +----------------------------------------------------------------------// 应用入口文件// 检测PHP环境
if(version_compare(PHP_VERSION,'5.3.0','<'))  die('require PHP > 5.3.0 !');// 开启调试模式 建议开发阶段开启 部署阶段注释或者设为false
define('APP_DEBUG',false);// 定义应用目录
define('ROOT_PATH', dirname(__DIR__));  #此行为增加的新行
define('APP_PATH', ROOT_PATH.'/Application/');  #修改此处加载路径,添加上面的ROOT_PATH// 引入ThinkPHP入口文件
require ROOT_PATH.'/ThinkPHP/ThinkPHP.php';     #修改此处加载路径,添加上面的ROOT_PATH// 亲^_^ 后面不需要任何代码了 就是如此简单

 二、nginx配置中的if多条件判断问题-阿里云阻止指host访问

        下面是一段nginx配置,之前只是判断如果$host是否等于www.007.cn,后来我加上一个匹配007,保存配置文件后检查发现报错:nginx: [emerg] invalid condition  publish:September 28, 2018 -Friday

#配置文件修改
if ( $host ~ /007/ && $host != 'www.007.cn' ) {rewrite ^/(.*)$ http://47.13.13.36/$1 permanent;
}
[root@007 vhosts]# nginx -t
nginx: [emerg] invalid condition "$host" in /usr/local/nginx/conf/vhosts/007.conf:6
nginx: configuration file /usr/local/nginx/conf/nginx.conf test failed

     于是我带着程序语言的逻辑认真地检查配置文件的语法,依然没发现哪里有异常,后来才知道nginx的配置中不支持if条件的逻辑与&& 逻辑或|| 运算,而且不支持if的嵌套语法:nginx通过ngx_http_rewrite_module模块支持url rewritet和if条件判断,但不支持else。另外该模块需要PCRE支持,应在编译nginx时指定PCRE支持。根据相关变量重定向和选择不同的配置,从一个location跳转到另一个location,不过这样的循环最多可以执行10次,超过后nginx将返回500错误。同时,重写模块可以包含set指令,来创建新的变量并设其值,这在有些情景下非常有用的,如记录条件标识、传递参数到其他location、记录做了什么等等。学习rewrite之前要对正则表达式要很熟悉,常用的正则表达式元字符如下:

#nginx常用的正则表达式
.     :匹配除换行符以外的任意字符
?     :重复0次或1次
+     :重复1次或更多次
*     :重复0次或更多次
\d    :匹配数字
^     :匹配字符串的开始字符
$     :匹配字符串的结束字符
{n}   :重复n次
{n,}  :重复n次或更多次
[c]   :匹配单个字符c
[a-z] :匹配a-z小写字母的任意一个
#在rewrite中,如果使用小括号(),那么在小括号之间匹配的内容,可以在后面通过$1来引用,$2表示的是前面第二个()里的内容。

    所以上述配置会报下面的错误:nginx: [emerg] invalid condition。所以上面的这方法是行不通的,改成两个if条件嵌套也一样不行,我这里的条件到是简单,一想,我这个可以改为:

if ( $host = '007.cn' ) { rewrite ^/(.*)$ http://47.13.13.26/$1 permanent;
}
#还可以这样:
if ( $host ~ ^007 ) {rewrite ^/(.*)$ http://47.13.13.26/$1 permanent;
}

        另外对于上面的问题,如果不能像以上压缩到一个条件解决的话,可以使用间接变量的方式来实现,这个在程序逻辑里我们也经常使用, 方法如下:

set $flag 0;
if ($host ~ '007' ){set $flag "${flag}1";
}
if ($host != 'www.007.cn'){set $flag "${flag}1";
}
if ($flag = "011"){rewrite ^/(.*)$ http://47.13.13.26/$1 permanent;
}

        但在进行上述试验后,我想使用一个假域名指host访问阿里云主机,发现阿里云会阻止这样的访问:

该网站暂时无法访问尊敬的用户,您好
很抱歉,该网站暂时无法访问,可能由以下原因导致:
原因一:未备案或未接入;根据《非经营性互联网信息服务备案管理办法》,网站需要完成备案或接入。
原因二:网站内容与备案信息不符或备案信息不准确;根据《非经营性互联网信息服务备案管理办法》,网站内容需要与备案信息一致,且备案信息需真实有效。建议网站管理员尽快修改网站信息。

这篇关于关于thinkPHP3.2中的rewrite不严谨问题会导致网站被注入以及nginx配置中的if多条件判断问题-阿里云阻止指host访问的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/1101979

相关文章

Zookeeper安装和配置说明

一、Zookeeper的搭建方式 Zookeeper安装方式有三种,单机模式和集群模式以及伪集群模式。 ■ 单机模式:Zookeeper只运行在一台服务器上,适合测试环境; ■ 伪集群模式:就是在一台物理机上运行多个Zookeeper 实例; ■ 集群模式:Zookeeper运行于一个集群上,适合生产环境,这个计算机集群被称为一个“集合体”(ensemble) Zookeeper通过复制来实现

CentOS7安装配置mysql5.7 tar免安装版

一、CentOS7.4系统自带mariadb # 查看系统自带的Mariadb[root@localhost~]# rpm -qa|grep mariadbmariadb-libs-5.5.44-2.el7.centos.x86_64# 卸载系统自带的Mariadb[root@localhost ~]# rpm -e --nodeps mariadb-libs-5.5.44-2.el7

hadoop开启回收站配置

开启回收站功能,可以将删除的文件在不超时的情况下,恢复原数据,起到防止误删除、备份等作用。 开启回收站功能参数说明 (1)默认值fs.trash.interval = 0,0表示禁用回收站;其他值表示设置文件的存活时间。 (2)默认值fs.trash.checkpoint.interval = 0,检查回收站的间隔时间。如果该值为0,则该值设置和fs.trash.interval的参数值相等。

NameNode内存生产配置

Hadoop2.x 系列,配置 NameNode 内存 NameNode 内存默认 2000m ,如果服务器内存 4G , NameNode 内存可以配置 3g 。在 hadoop-env.sh 文件中配置如下。 HADOOP_NAMENODE_OPTS=-Xmx3072m Hadoop3.x 系列,配置 Nam

好题——hdu2522(小数问题:求1/n的第一个循环节)

好喜欢这题,第一次做小数问题,一开始真心没思路,然后参考了网上的一些资料。 知识点***********************************无限不循环小数即无理数,不能写作两整数之比*****************************(一开始没想到,小学没学好) 此题1/n肯定是一个有限循环小数,了解这些后就能做此题了。 按照除法的机制,用一个函数表示出来就可以了,代码如下

hdu1043(八数码问题,广搜 + hash(实现状态压缩) )

利用康拓展开将一个排列映射成一个自然数,然后就变成了普通的广搜题。 #include<iostream>#include<algorithm>#include<string>#include<stack>#include<queue>#include<map>#include<stdio.h>#include<stdlib.h>#include<ctype.h>#inclu

wolfSSL参数设置或配置项解释

1. wolfCrypt Only 解释:wolfCrypt是一个开源的、轻量级的、可移植的加密库,支持多种加密算法和协议。选择“wolfCrypt Only”意味着系统或应用将仅使用wolfCrypt库进行加密操作,而不依赖其他加密库。 2. DTLS Support 解释:DTLS(Datagram Transport Layer Security)是一种基于UDP的安全协议,提供类似于

阿里开源语音识别SenseVoiceWindows环境部署

SenseVoice介绍 SenseVoice 专注于高精度多语言语音识别、情感辨识和音频事件检测多语言识别: 采用超过 40 万小时数据训练,支持超过 50 种语言,识别效果上优于 Whisper 模型。富文本识别:具备优秀的情感识别,能够在测试数据上达到和超过目前最佳情感识别模型的效果。支持声音事件检测能力,支持音乐、掌声、笑声、哭声、咳嗽、喷嚏等多种常见人机交互事件进行检测。高效推

【Python编程】Linux创建虚拟环境并配置与notebook相连接

1.创建 使用 venv 创建虚拟环境。例如,在当前目录下创建一个名为 myenv 的虚拟环境: python3 -m venv myenv 2.激活 激活虚拟环境使其成为当前终端会话的活动环境。运行: source myenv/bin/activate 3.与notebook连接 在虚拟环境中,使用 pip 安装 Jupyter 和 ipykernel: pip instal

安卓链接正常显示,ios#符被转义%23导致链接访问404

原因分析: url中含有特殊字符 中文未编码 都有可能导致URL转换失败,所以需要对url编码处理  如下: guard let allowUrl = webUrl.addingPercentEncoding(withAllowedCharacters: .urlQueryAllowed) else {return} 后面发现当url中有#号时,会被误伤转义为%23,导致链接无法访问