告诉 nginx 和/或 php *不要*按目录解释命令?

告诉 nginx 和/或 php *不要*按目录解释命令?

我正在对我的新网站进行渗透测试,并使用 weevely 生成 php 有效负载。我手动将其直接放入图片中,用户可以将图片上传到我的网站。我能够在 中建立与 weevely 有效负载的反向连接/images。是否可以告诉 nginx 和/或 php不是解释来自 /images 目录的命令?除了正确[1]编写带有文件验证的安全输入机制外,我们还能做些什么来阻止有效载荷在特定的 (/images) 目录中执行?

[1]https://php.earth/doc/security/uploading

user www-data;
worker_processes  auto;

events {
    worker_connections  1024;
}

http {
    include       mime.types;
    default_type  application/octet-stream;
    sendfile        on;
    keepalive_timeout  65;
    charset utf-8;
    server_tokens  off;

    add_header X-XSS-Protection "1; mode=block" always;
    add_header X-Frame-Options DENY;
    add_header Referrer-Policy "SAMEORIGIN" always;
    add_header X-Content-Type-Options "nosniff" always;
    add_header Pragma public;
    add_header Cache-Control "public";

    include /etc/nginx/conf.d/*.conf;

    gzip on;
    gzip_comp_level 2;
    gzip_min_length 1000;

    server {
    listen 127.0.0.1:80;
    server_name website.com;
    root /var/www/website/;
    index index.php index.html;

    location ~ \.php$ {
        include snippets/fastcgi-php.conf;
        fastcgi_param HTTP_PROXY "";
        fastcgi_pass 127.0.0.1:9000;
        include fastcgi_params;
    }

    location ~* .(png|ico|gif|jpg|jpeg|css|html|txt|php)$ {
        expires 2d;
            add_header Pragma public;
        add_header Cache-Control "public";
    }

    if ($request_method !~ ^(GET|POST)$) {
         return 444;
    }
    }
}

答案1

问题不清楚。你说的“解释命令”是什么意思。Nginx 提供文件并将请求代理到其他服务器或服务,例如 PHP。PHP 运行脚本。

我认为您希望图像目录仅提供文件,而不是运行 PHP 脚本。

我已经添加了缓存标头。Pragma 已过时,您无需使用它。

location \images
   root \whatever;
   add_header Cache-Control "public, max-age=691200, s-maxage=691200";
   more_clear_headers Server; more_clear_headers "Pragma"; more_clear_headers "Expires";
}

或者,你可以使用类似以下答案这个问题

location ~ /images/(.+)\.php$ {
  deny all;
}
location ~ \.php$ {
  // as above
}

相关内容