Nginx Image Hijacking

lima-city → Forum → Sonstiges → Spam und sonstiges Unvergütetes

Autor dieses Themas
~~l***********g~~
12:10, 4.10.2012
Der Webserver Nginx hat eine verherende Lücke im Script (Nginx = Apache Alternative)

Wie kommt die Lücke zustande?:
NGinx kann (solange die Lücke nicht gefixxt ist) Bilder quasi in als Quelltext ausgeben wenn man z.B
http://www.lima-city.de/images/layout/icons/warning.png/.php aufruft.

Wenn es den Usern gestattet ist eigene Bilder zu uploaden (in Form eines Avatars z.B) ist es ein leichtestes eine shell mit zu integrieren und sich so Vollzugriff auf den Server zu beschaffen.

Nginx selbst hat keine Lust diese Lücke zu fixxen, sodass sie standartmäßig (mit der falschen Konfiguration) immer enthalten ist.

Wie fixxe ich diese Lücke?:

Es gibt mehrere möglichkeiten.
Die einfachste wäre den code in die config zu integrieren:
```
## Stop Image and Document Hijacking
location ~* (\.jpg|\.png|\.css)$ {
if ($http_referer !~ ^(http://mydomain.com) ) {
return 444;
}
```
viel glück mit eurem nginx webserver
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!

lima-city: Gratis werbefreier Webspace für deine eigene Homepage
burgi

Co-Admin

burgi hat kostenlosen Webspace.

12:14, 4.10.2012
verschoben ins Spamforum:
keine erkennbare Diskussionsgrundlage,
wir sind kein Blog
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!

lima-city: Gratis werbefreier Webspace für deine eigene Homepage

Dir gefällt dieses Thema?

Über lima-city

lima-city bietet dir kostenlosen und werbefreien Speicherplatz für Deine Homepage. Sofort anmelden und direkt loslegen mit Webspace, PHP, Datenbanken, günstigen Domains und einer tollen Community!

kostenloser Webspace werbefrei: lima-city

Nginx Image Hijacking

lima-city → Forum → Sonstiges → Spam und sonstiges Unvergütetes

Dir gefällt dieses Thema?

Über lima-city

Login zum Webhosting ohne Werbung!