国内尖端安全团队80sec于5.20日下午6点发布了一个关于nginx的缝隙布告，因为该缝隙的存在，运用nginx+php组成的网站只需答应上传图片就或许被黑客侵略，直到5.21日清晨，nginx没有发布修正该缝隙的补丁；现已有一些网站被黑了，管理员速修正！

依据Netcraft的计算，直到2010年4月，全球一共有1300万台服务器运转着nginx程序；十分保存的估量，其间至少有600万台服务器运转着nginx并启用了php支撑；持续保存的估量，其间有1/6，也便是100万台服务器答应用户上传图片。有图有本相。

没错，重申一次，因为nginx有缝隙，这100万台服务器或许经过上传图片的办法被黑客容易的植入木马。植入木马的进程也十分简略，便是把木马改成图片上传便是了，因为损害十分大，就不说细节了。

说了那么多，我想咱们对80sec这个尖端安全团队比较猎奇吧，素包子简略介绍一下。

80sec团队由一群年青、充溢活力、充溢膂力、充溢热情、赋有创造力的未婚dota男组成，他们均在各大互联网公司从事信息安全作业，他们的标语是know it then hack it，素包子十分认同这个观念：“咱们只需十分了解一个事物，就有或许客观的发现它的不足之处，一起咱们也能的发现该事物的长处”。

下面介绍一下他们的汗马功劳，他们曾发现IIS、IE、FireFox、Maxthon、国际之窗、PHPWind、DeDeCMS、QQ mail、QuarkMail、EXTMail等软件的缝隙，可见硕果累累。

已然介绍了80sec，就不得不介绍别的一个十分专心WEB安全的尖端安全团队80vul，该团队相同也是由80后的男童鞋组成（90后表明压力很大:p），他们也发现了很多WEB APP的安全缝隙，例如IE、Gmail、wordpress、PHPWind、DISCUZ、MYBB等。

听说黑客现已内行动了；安全人员、体系管理人员、行动起来吧，赶忙修正该缝隙；最好不要有侥幸心理，不然下一个被黑客侵略的或许便是你的网站。依据80sec安全公告的描绘，暂时修正办法如下，可3选其一。

1、设置php.ini的cgi.fix_pathinfo为0，重启php。最便利，但修正设置的影响需求自己评价。

2、给nginx的vhost装备增加如下内容，重启nginx。vhost较少的情况下也很便利。

3、制止上传目录解说PHP程序。不需求动webserver，假如vhost和服务器较多，短期内难度急剧上升；主张在vhost和服务器较少的情况下选用。