最近的确由于使用微博的关系，已很少update这里的信息，实在抱歉，如果阁下同样开设微博，可以关注我的微博(http://t.sina.com.cn/joeyw），也可以在这里关注，以下是我的微博app:

I’m working on a new project and has claimed it’s been given the codename Romeo. I really feel good about what I’ve done so far. It’s a project for oversea customers. An July commercial launch date looks feasible.

为了更安全地宣传和推广爱瑟丽的精品和服务，爱瑟丽早前在新浪开通第二个微博（第一个在Twitter: http://twitter.com/aesiri)，并已通过新浪认证，在此宣布，http://t.sina.com.cn/aesiri 为唯一官方的新浪微博地址。

你没看错，代号为Poplar，不是Popular，因为没有U，不会流行，只因有你的加入，整个事业才得以popular，我们正等待U的加入，而poplar则是全球生长速度最快的树，各位如果你或你有朋友有兴趣加入这个毫无风险的计划，Contact us!

新浪微博的臭不要脸，是臭在明目张胆地抄袭国外微博Twitter的概念，然后臭不要脸地使用t.sina.com.cn，这个用t而不用m(microblog)不用说一定也是照搬Twitter，最重要的是他臭不要脸把这已热过一阵子隔夜凉拌面翻炒成佳肴，然而大家也吃得津津有味。

而臭不要脸的我一早就拥有Twitter、饭否，竟然臭不要脸地随波俗流，装嫩装潮注册了n个新浪微博账号，更臭不要脸到为我诸多网站都用上新浪微博，在本博客也臭不要脸地嵌入了微博的Flash挂件。

时尚就是如此，有地域性、时间性，在面对潮流趋势时，要么有改变潮流的能力，领导潮流，要么沦为（或升格）非主流，最后两者都不是的，都成为臭不要脸跟在后面的小屁虫。

近日，80sec发现一个漏洞，这简直让所有安装了nginx的网站犹如绑上定时炸弹，我试了一下，这个漏洞简直超级超级严重，只要你的网站是nginx，并有上传功能，那么要秒掉阁下的网站，简直不费吹灰之力。

我在我的cat.catcatgo.com分支上测试了一下，大家可以看看，例如我上传了一个文件，名为logo.jpg，而事实上这个不是图片，而是一段php代码，本例是：

<?echo “This is my PHP!”;?>

例如一个网站上有上传头像之类的功能，只需要通过这步骗过对方程序，例如，如果我的图片上传到根目录：http://cat.catcatgo.com/logo.jpg，那么只需要在后面添加一个/任何名字.php，例如：http://cat.catcatgo.com/logo.jpg/a.php，那么就可以访问到其中的php代码。

本人的方法是在fcgi.conf中加入修改段：

location ~* .*\.php($|/)
{
if ($request_filename ~* .*\.php$) {
set $is_path_info ‘0′;
}
if (-e $request_filename) {
set $is_path_info ‘1′;
}
if ($is_path_info ~ ‘0′) {
return 403;
}

cat.catcatgo.com例子摆放一周，下周修复这个支点漏洞。大家可以参详一下。

以下是转载文章：

漏洞介绍：nginx是一款高性能的web服务器，使用非常广泛，其不仅经常被用作反向代理，也可以非常好的支持PHP的运行。80sec发现 其中存在一个较为严重的安全问题，默认情况下可能导致服务器错误的将任何类型的文件以PHP的方式进行解析，这将导致严重的安全问题，使得恶意的攻击者可 能攻陷支持php的nginx服务器。
漏洞分析：nginx默认以cgi的方式支持php的运行，譬如在配置文件当中可以以

(进入阅读全文)