在windows使用XAMPP架設PHP 站點的要小心了

更新於 2024/06/12閱讀時間約 2 分鐘


最近PHP發佈了一個重大漏洞。這個漏洞是由戴夫寇爾研究團隊發現的,他們在進行前瞻攻擊研究期間,發現了PHP程式語言在Windows作業系統上的遠端程式碼執行弱點。這讓我非常驚訝,因為PHP在網站開發中使用非常廣泛,而這個漏洞的存在對我們這些開發者來說是一個很大的威脅。


漏洞描述

根據文章內容,這個漏洞是因為PHP在設計時忽略了Windows作業系統內部對字元編碼轉換的Best-Fit特性,導致未認證的攻擊者可以透過特定的字元序列繞過舊有的CVE-2012-1823保護,並且可以在遠端PHP伺服器上執行任意程式碼。這對於我們這些使用Windows作業系統並搭建PHP環境的開發者來說,是一個非常嚴重的問題。


影響範圍

這個弱點影響了所有安裝於Windows作業系統上的PHP版本,包括但不限於:

  • PHP 8.3 < 8.3.8
  • PHP 8.2 < 8.2.20
  • PHP 8.1 < 8.1.29

由於PHP 8.0分支、PHP 7以及PHP 5官方已不再維護,我們需要特別注意自己的版本是否在影響範圍內。


如何確認自己易遭受攻擊?

對於使用Apache HTTP Server加上PHP組合的網站管理員,文章列出了兩個方式確認伺服器是否易被攻擊。其中情境二也是XAMPP for Windows安裝時的預設設定,這意味著所有版本的XAMPP for Windows安裝也預設受此弱點影響。尤其是在繁體中文、簡體中文及日文語系的Windows作業系統上,這個漏洞更容易被利用。



修補建議

強烈建議所有使用者升級至PHP官方最新版本(8.3.8、8.2.20與8.1.29)。對於無法升級的系統,可以透過下列方式暫時緩解弱點:

  1. 對無法更新PHP的使用者,可以透過Rewrite規則阻擋攻擊。
  2. 對XAMPP for Windows使用者,可以透過修改Apache Httpd設定檔避免暴露在弱點中。

例如,將 C:/xampp/apache/conf/extra/httpd-xampp.conf 中的 ScriptAlias /php-cgi/ "C:/xampp/php/" 註解掉即可。


作為一名PHP開發者,看到這樣的資安問題,確實讓人感到有些擔憂。不過,幸運的是,研究團隊已經在第一時間回報給PHP官方並且發佈了修復版本。如果有相同或是類似環境,希望大家都能夠盡快更新自己的PHP版本,保證系統的安全。


原文-戴夫寇爾官方BLOG:

https://devco.re/blog/2024/06/06/security-alert-cve-2024-4577-php-cgi-argument-injection-vulnerability/


這是一系列以軟體開發為主題的輕鬆分享,內容涵蓋了技術選擇、開發經驗、實戰應用等多方面的議題。無論是如何在眾多框架中做出選擇,還是如何應對技術轉移的挑戰,這裡有幽默、有趣的對話風格,將複雜的技術問題轉化為易懂的故事。
留言0
查看全部
avatar-img
發表第一個留言支持創作者!
DevOpsDays Taipei 2024將於台北南港的 POPOP Taipei 舉行!活動將匯集頂尖 DevOps 專家,提供豐富的 40 分鐘演講、25 分鐘主題分享和 90 分鐘實戰工作坊。其中包含AIOps、CI/CD、DevSecOps 等,還有場邊活動讓你拓展人脈,不容錯過的技術盛會
【HITCON Cyber Range 2024 開放報名】 企業資安高手們注意!HITCON Cyber Range 2024 正式開放報名,這場專為企業藍隊設計的競賽,模擬網路攻擊情境,參賽隊伍需迅速響應,提升資安防禦能力。資格賽將於2024年7月26日線上舉行。立即報名,挑戰最強藍隊稱號!
去年我整理了一份各大研討會的時間資訊,得到還不錯的迴響,自己在查研討會的時間也是很方便,今天也陸續來更新各大會議的時間與內容。
每當看到相關的技術年會訊息,我總會想起大學時參加過的研討會,那種滿滿的熱情和期待。每次看到駭客年會的消息,都會讓我想起那段坐在會議廳中聽著台上講者所分享的技術。所以,我今天想來分享一下今年台灣的技術年會情報。
DevOpsDays Taipei 2024將於台北南港的 POPOP Taipei 舉行!活動將匯集頂尖 DevOps 專家,提供豐富的 40 分鐘演講、25 分鐘主題分享和 90 分鐘實戰工作坊。其中包含AIOps、CI/CD、DevSecOps 等,還有場邊活動讓你拓展人脈,不容錯過的技術盛會
【HITCON Cyber Range 2024 開放報名】 企業資安高手們注意!HITCON Cyber Range 2024 正式開放報名,這場專為企業藍隊設計的競賽,模擬網路攻擊情境,參賽隊伍需迅速響應,提升資安防禦能力。資格賽將於2024年7月26日線上舉行。立即報名,挑戰最強藍隊稱號!
去年我整理了一份各大研討會的時間資訊,得到還不錯的迴響,自己在查研討會的時間也是很方便,今天也陸續來更新各大會議的時間與內容。
每當看到相關的技術年會訊息,我總會想起大學時參加過的研討會,那種滿滿的熱情和期待。每次看到駭客年會的消息,都會讓我想起那段坐在會議廳中聽著台上講者所分享的技術。所以,我今天想來分享一下今年台灣的技術年會情報。
你可能也想看
Google News 追蹤
Thumbnail
*合作聲明與警語: 本文係由國泰世華銀行邀稿。 證券服務係由國泰世華銀行辦理共同行銷證券經紀開戶業務,定期定額(股)服務由國泰綜合證券提供。   剛出社會的時候,很常在各種 Podcast 或 YouTube 甚至是在朋友間聊天,都會聽到各種市場動態、理財話題,像是:聯準會降息或是近期哪些科
Thumbnail
本文將介紹在Windows環境中安裝SQL Server及相關PHP擴展,以進行與SQL Server的串接。透過本文所述步驟,您將能在Windows環境中順利進行PHP與SQL Server串接設定。
Thumbnail
本文將介紹在Windows環境中安裝Oracle Instant Client及相關PHP擴展,以進行與Oracle Database的串接。透過本文所述步驟,您將能在Windows環境中順利進行PHP與Oracle Database的串接設定。
Thumbnail
在開發 Windows 應用程式時,有時會需要讓使用者能夠進行圖片的複製與貼上操作。這篇教學將會介紹如何在 C# 中實現這樣的功能。我們將使用 System.Drawing 命名空間中的一些類別來處理圖片的複製和貼上操作。
Thumbnail
1. 詳細的 python 安裝流程(不需要 anaconda) 2. 透過「命令提示字元」啟動 python 的方法
Thumbnail
1. WSL 的安裝流程 2. WSL 的使用 3. 取得 WSL 的檔案 以上皆有附圖
Thumbnail
在Microsoft store 搜尋 kail linux 並安裝(這裡假設你已經先安裝WSL) 之後執行kail linux 終端機 依序輸入以下指令: 上面主要是做一些更新(update and upgrade),然後安裝python3, python3-venv(虛擬環境)之後建立一個名為b
Thumbnail
Windows電腦中,我們可以利用內建工具"工作排程器"去預設電腦重新啟動或登入時,自動執行重要程式,避免遺漏程式忘記,導致連動程式的系統不能使用。 以下是教學步驟: 步驟一: 開啟Windows電腦中內建工具"工作排程器" 步驟二: 將游標移至"工作排程器程式庫"按右鍵"建立工作" 步驟三:
Thumbnail
Redis主要是運行在Linux系統環境中的,官方下載區找不到windows安裝程式,不過微軟有維護windows版本的,可以到github release page下載安裝。 直接下載msi來安裝: 測試是否安裝成功: 回傳PONG表示服務正常。 查看版本資訊: 列出所有key:
Thumbnail
「VSCode 是世上最棒的 IDE 了吧」這時有人跳出來表示不服,定睛一看原來是那陳年的大哥 Visual Studio,他說道:「用 Windows 做開發的人一定要裝 Visual Studio 這樣專業的 IDE,不要裝其他次等的文字編輯器,才可以有效提升專業度。」
Thumbnail
Note: 本筆記使用的是Windows 10作業系統 1. 下載並安裝WAMP或XAMPP等等 本文是使用wamp,這邊略過安裝教學。 2. 下載並安裝Composer 至官網下載Composer windows installer,到這一步驟時,選擇PHP版本位置: ...
Thumbnail
*合作聲明與警語: 本文係由國泰世華銀行邀稿。 證券服務係由國泰世華銀行辦理共同行銷證券經紀開戶業務,定期定額(股)服務由國泰綜合證券提供。   剛出社會的時候,很常在各種 Podcast 或 YouTube 甚至是在朋友間聊天,都會聽到各種市場動態、理財話題,像是:聯準會降息或是近期哪些科
Thumbnail
本文將介紹在Windows環境中安裝SQL Server及相關PHP擴展,以進行與SQL Server的串接。透過本文所述步驟,您將能在Windows環境中順利進行PHP與SQL Server串接設定。
Thumbnail
本文將介紹在Windows環境中安裝Oracle Instant Client及相關PHP擴展,以進行與Oracle Database的串接。透過本文所述步驟,您將能在Windows環境中順利進行PHP與Oracle Database的串接設定。
Thumbnail
在開發 Windows 應用程式時,有時會需要讓使用者能夠進行圖片的複製與貼上操作。這篇教學將會介紹如何在 C# 中實現這樣的功能。我們將使用 System.Drawing 命名空間中的一些類別來處理圖片的複製和貼上操作。
Thumbnail
1. 詳細的 python 安裝流程(不需要 anaconda) 2. 透過「命令提示字元」啟動 python 的方法
Thumbnail
1. WSL 的安裝流程 2. WSL 的使用 3. 取得 WSL 的檔案 以上皆有附圖
Thumbnail
在Microsoft store 搜尋 kail linux 並安裝(這裡假設你已經先安裝WSL) 之後執行kail linux 終端機 依序輸入以下指令: 上面主要是做一些更新(update and upgrade),然後安裝python3, python3-venv(虛擬環境)之後建立一個名為b
Thumbnail
Windows電腦中,我們可以利用內建工具"工作排程器"去預設電腦重新啟動或登入時,自動執行重要程式,避免遺漏程式忘記,導致連動程式的系統不能使用。 以下是教學步驟: 步驟一: 開啟Windows電腦中內建工具"工作排程器" 步驟二: 將游標移至"工作排程器程式庫"按右鍵"建立工作" 步驟三:
Thumbnail
Redis主要是運行在Linux系統環境中的,官方下載區找不到windows安裝程式,不過微軟有維護windows版本的,可以到github release page下載安裝。 直接下載msi來安裝: 測試是否安裝成功: 回傳PONG表示服務正常。 查看版本資訊: 列出所有key:
Thumbnail
「VSCode 是世上最棒的 IDE 了吧」這時有人跳出來表示不服,定睛一看原來是那陳年的大哥 Visual Studio,他說道:「用 Windows 做開發的人一定要裝 Visual Studio 這樣專業的 IDE,不要裝其他次等的文字編輯器,才可以有效提升專業度。」
Thumbnail
Note: 本筆記使用的是Windows 10作業系統 1. 下載並安裝WAMP或XAMPP等等 本文是使用wamp,這邊略過安裝教學。 2. 下載並安裝Composer 至官網下載Composer windows installer,到這一步驟時,選擇PHP版本位置: ...