Diga ao nginx e/ou php *not* para interpretar comandos por diretório?

tag-icon tag-icon linux ubuntu security php nginx
Diga ao nginx e/ou php *not* para interpretar comandos por diretório?

Estou testando meu novo site e usei weevely para gerar uma carga útil de php. Eu coloquei manualmente nas imagens diretamente onde os usuários poderão fazer upload de imagens para o meu site. Consigo estabelecer uma conexão reversa com a carga útil do Weevely no /images. É possível informar nginx e/ou phpnãointerpretar comandos vindos do diretório /images? Além de codificar adequadamente[1] um mecanismo de entrada seguro com validações de arquivo, há mais alguma coisa que possamos fazer para evitar que cargas úteis sejam executadas em diretórios específicos (/images)?

[1]https://php.earth/doc/security/uploading

user www-data;
worker_processes  auto;

events {
    worker_connections  1024;
}

http {
    include       mime.types;
    default_type  application/octet-stream;
    sendfile        on;
    keepalive_timeout  65;
    charset utf-8;
    server_tokens  off;

    add_header X-XSS-Protection "1; mode=block" always;
    add_header X-Frame-Options DENY;
    add_header Referrer-Policy "SAMEORIGIN" always;
    add_header X-Content-Type-Options "nosniff" always;
    add_header Pragma public;
    add_header Cache-Control "public";

    include /etc/nginx/conf.d/*.conf;

    gzip on;
    gzip_comp_level 2;
    gzip_min_length 1000;

    server {
    listen 127.0.0.1:80;
    server_name website.com;
    root /var/www/website/;
    index index.php index.html;

    location ~ \.php$ {
        include snippets/fastcgi-php.conf;
        fastcgi_param HTTP_PROXY "";
        fastcgi_pass 127.0.0.1:9000;
        include fastcgi_params;
    }

    location ~* .(png|ico|gif|jpg|jpeg|css|html|txt|php)$ {
        expires 2d;
            add_header Pragma public;
        add_header Cache-Control "public";
    }

    if ($request_method !~ ^(GET|POST)$) {
         return 444;
    }
    }
}

Responder1

A pergunta não está clara. O que você quer dizer com "interpretar comandos". O Nginx atende solicitações de arquivos e proxies para outros servidores ou serviços, como PHP. PHP executa scripts.

Acho que você deseja que o diretório de imagens sirva apenas arquivos, não execute scripts PHP.

Eu adicionei meus cabeçalhos de cache. O Pragma é antigo, você não precisa usá-lo.

location \images
   root \whatever;
   add_header Cache-Control "public, max-age=691200, s-maxage=691200";
   more_clear_headers Server; more_clear_headers "Pragma"; more_clear_headers "Expires";
}

Como alternativa, você pode usar algo como a resposta paraessa questão:

location ~ /images/(.+)\.php$ {
  deny all;
}
location ~ \.php$ {
  // as above
}

informação relacionada