冷兮公子 2017-04-14 01:20 采纳率: 0%
浏览 2462

nginx配置反向代理,appscan漏洞扫描出现:shell解释器脚本任意命令执行

如题,nginx配置如下:
location ^~ /cgi/ {
proxy_pass https://127.0.0.1:520;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto https;
}

appscan漏洞扫描构造请求:https://mydomain.com/cgi/bash,
扫描结果:响应500 Internal Server Error也可能存在漏洞,由于shell脚本可能需要相应的参数才能成功执行,所以可能是因为缺少这些参数而产生错误。

我的本意是访问/cgi时代理到520端口的进程中,由于520端口的进程没有开启,于是出现上面的漏洞,开启进程后是正常的。

请问有没有什么办法规避这个漏洞扫描呢?

  • 写回答

1条回答 默认 最新

  • zhangsheng_1992 2017-04-14 02:26
    关注

    1.一般cgi目录放置的是可执行脚本 把cgi目录的执行权限去掉 shell脚本就没办法执行了

    2.后端520端口没有开启应该是提示502错误 而不是500 500说明你的后端服务脚本有问题

    3.对执行脚本文件配置nginx的 500 502 404等错误页面 当出现错误后强制跳转

    评论

报告相同问题?

悬赏问题

  • ¥15 不同尺寸货物如何寻找合适的包装箱型谱
  • ¥15 求解 yolo算法问题
  • ¥15 虚拟机打包apk出现错误
  • ¥15 用visual studi code完成html页面
  • ¥15 聚类分析或者python进行数据分析
  • ¥15 三菱伺服电机按启动按钮有使能但不动作
  • ¥15 js,页面2返回页面1时定位进入的设备
  • ¥50 导入文件到网吧的电脑并且在重启之后不会被恢复
  • ¥15 (希望可以解决问题)ma和mb文件无法正常打开,打开后是空白,但是有正常内存占用,但可以在打开Maya应用程序后打开场景ma和mb格式。
  • ¥20 ML307A在使用AT命令连接EMQX平台的MQTT时被拒绝