nginx文件类型错误解析漏洞

xhguitar@163.com (Admin) — Fri, 21 May 2010 13:03:04 +0800

漏洞介绍：nginx是一款高性能的web服务器，使用非常广泛，其不仅经常被用作反向代理，也可以非常好的支持PHP的运行。80sec发现其中存在一个较为严重的安全问题，默认情况下可能导致服务器错误的将任何类型的文件以PHP的方式进行解析，这将导致严重的安全问题，使得恶意的攻击者可能攻陷支持php的nginx服务器。

漏洞分析：nginx默认以cgi的方式支持php的运行，譬如在配置文件当中可以以
location ~ \.php$ {
root html;
fastcgi_pass 127.0.0.1:9000;
...

小心你送出的密码

xhguitar@163.com (Admin) — Thu, 25 Feb 2010 15:06:55 +0800

如果你的密码是大小写英文数字混合，长度也超过八位，又绝对性的不会被人猜出，电脑上的安全措施做得天衣无缝，是否就安全了呢？这里得遗憾的告诉你，不能，永远不能。在这里我们将探讨将探讨我们在不经意间填写送出的密码。

我们的密码针对大多数人，我们可能会记忆 1-5 个密码。比较普遍的情况是两个计算机密码，两个数字密码。其计算机的两个密码，一个适用于大多数的情况中，如 Windows 登录密码、网站密码、QQ 密码等；另一个密码被称为二级密码，适用于某些网站的二级密码、支付密码或安全码。而数字密码，在国内一般是六位数字，被用于银行卡、移动通信账户、股票基金账户中，有些银行还会区分查询密码、取款支付密码等。根据不同情况，我们会有更多密码需要记忆。
...

网安咨讯---三人行必有我师 - 攻防技术

nginx文件类型错误解析漏洞

小心你送出的密码