thinkphp安全优化
thinkphp安全优化
tp框架非常方便好用但是一直饱受着安全的诟病,有很多刚接触tp框架的由于不懂得文件权限设置,上来直接给777权限这是一个非常危险的错误
决定,下面我记录一次tp的Webshell事件以及优化方案,大家可做参考。
问题描述:
upload目录被恶意上传一个1.php文件,虽然没造成什么影响,但是线下测试这个恶意文件感觉还挺厉害的,如下图
(直接访问恶意文件显示一个登陆界面,密码admin)
(登陆后可直接操作服务器)
由于我的线上服务器屏蔽了eval函数 才导致这个脚本无法运行没有造成财产损失
解决方案:
1.nginx的话在conf配置文件输入以下,表明upload文件夹内禁止执行php文件。
location ~* ^\/(upload|uploads)\/.*\.(php)$ { deny all; }
2.apache的话在.htaccess文件内配置以下,表明效果如上禁止执行php文件。
<FilesMatch \.(?i:html|php)$> Order allow,deny Deny from all </FilesMatch>
3.禁止eval函数,很多挂马脚本内部都包含此函数,所以在不影响业务架构的情况下一定要禁用此函数,禁用教程如下。
https://www.cnblogs.com/caopeng/p/14772075.html