使用nginx处理的一些安全漏洞

这篇具有很好参考价值的文章主要介绍了使用nginx处理的一些安全漏洞。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

1、响应头缺失

HTTP X-Permitted-Cross-Domain-Policies 响应头缺失

Nginx的nginx.conf中location下配置:

add_header X-Permitted-Cross-Domain-Policies value;

HTTP Referrer-Policy 响应头缺失

Nginx的nginx.conf中location下配置:

add_header 'Referrer-Policy' 'origin';

HTTP X-Content-Type-Options 响应头缺失

Nginx的nginx.conf中location下配置:

add_header X-Content-Type-Options nosniff;

HTTP X-Download-Options 响应头缺失

Nginx的nginx.conf中location下配置:

add_header X-Download-Options "noopen" always;

HTTP Content-Security-Policy 响应头缺失

Nginx的nginx.conf中location下配置:

add_header Content-Security-Policy "default-src 'self' * 'unsafe-inline' 'unsafe-eval' blob: data: ;";

点击劫持:缺少 X-Frame-Options 头

Nginx的nginx.conf中location下配置:

add_header X-Frame-Options SAMEORIGIN;

HTTP X-XSS-Protection 响应头缺失

Nginx的nginx.conf中location下配置:

add_header X-XSS-Protection 1;

2、set-cookies 属性缺失

set-Cookie 没有设置 secure 、HttpOnly属性

nginx.conf location 根据项目路径配置(实际就是把/替换为/; Secure; HttpOnly)

proxy_cookie_path / "/; Secure; HttpOnly";

负载也会产生一条set-cookies信息,upstream route后加上Secure HttpOnly

    upstream portal{
          sticky path=/hh name=hh_route Secure HttpOnly;

3、CSRF跨站域请求伪造攻击

控制referer来源,例如非192.168.41网段地址返回403错误

nginx.conf server 下配置

    valid_referers none server_names 192.168.41.*;

        if ($invalid_referer) {
            return 403;
        }

4、不安全的http请求方式漏洞

例如只允许get post请求,其他返回403

nginx.conf location 添加

        if ($request_method !~* GET|POST) {
        return 403;
        }

 5、版本号信息隐藏

nginx版本号信息隐藏

nginx.conf http 添加

server_tokens off;

应用服务版本号信息隐藏

 使用nginx处理的一些安全漏洞

nginx.conf location 设置

proxy_hide_header aas-version;

 6、请求头控制web访问

例如只允许手机访问,则请求头Windows、Macintosh,直接返回404

nginx location 配置文章来源地址https://www.toymoban.com/news/detail-402056.html

        set $flag 0;
        if ($http_user_agent ~* "Windows" ) {
            set $flag "1";
        }
        if ($http_user_agent ~* "Macintosh" ) {
            set $flag "1";
        }
        if ($flag = "1"){
            return 404;
        }

到了这里,关于使用nginx处理的一些安全漏洞的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • Spring Security漏洞防护—HTTP 安全响应头

    Spring Security提供了 一套默认的安全HTTP响应头,以提供安全默认值。虽然这些头信息中的每一个都被认为是最佳实践,但应该注意的是,并不是所有的客户端都使用这些头信息,所以鼓励进行额外的测试。 你可以定制特定的header。例如,假设你想使用默认值,但你希望为 X-

    2024年02月03日
    浏览(38)
  • Nginx 安全漏洞

    CVE-2021-23017 nginx存在安全漏洞,该漏洞源于一个离一错误在该漏洞允许远程攻击者可利用该漏洞在目标系统上执行任意代码。受影响版本:0.6.18-1.20.0 CVE-2019-9511,CVE-2019-9513,CVE-2019-9516 Nginx 1.9.51 至 16.0版本及1.17.2.版本中的HTTP/2实现中存在拒绝服务漏洞,攻击者以多个数据流请

    2024年02月04日
    浏览(38)
  • 中间件安全—Nginx常见漏洞

      在上篇中间件安全—Apache常见漏洞中,并未对中间件漏洞进行解释,这里补充一下。   所谓的中间件漏洞就是并非是由于代码程序上设计存在缺陷而导致的漏洞,而是属于应用部署中环境配置不当或使用不当而导致的漏洞,同时这方面的漏洞也是最容易被管理员忽略的

    2024年02月09日
    浏览(46)
  • 安全中级2:nginx的中间件漏洞

    目录 一、nginx解析php的流程 1.原理    2.CGI、FastCGI、PHP-FPM、PHP-CG、WrapperI的定义 二、Fastcgi协议 1.Fastecgi Record 2.Fastcgi Type 3.PHP-FPM(FastCGI进程管理器) 4.总结FastCGI解析的流程 三、nginx配置错误导致的漏洞 1.CRLF注入漏洞($uri解码漏洞,换行符导致的注入漏洞) (1)原理 (2)利用

    2024年02月09日
    浏览(45)
  • 网络&信息安全:nginx漏洞收集(升级至最新版本)

    💖The Begin💖点点关注,收藏不迷路💖 漏洞名称: nginx 越界写入漏洞(CVE-2022-41742) 风险等级: 高 高可利用: 否 CVE编号: CVE-2022-41742 端口(服务): 8000(nginx) 风险描述: NGINX 在 ngx_http_mp4_module 中存在漏洞,这可能允许攻击者激发 worker 进程的崩溃,或者通过使用特制的 mp4 文

    2024年04月11日
    浏览(50)
  • 常见的安全扫描漏洞的工具、漏洞分类及处理

    Nikto 这是一个开源的Web服务器扫描程序,它可以对Web服务器的多种项目进行全面的测试。其扫描项目和插件经常更新并且可以自动更新。Nikto可以在尽可能短的周期内测试你的Web服务器,这在其日志文件中相当明显。不过,如果你想试验一下,它也可以支持 LibWhisker的反IDS方法

    2023年04月08日
    浏览(53)
  • Spring Security 6.x 系列【46】漏洞防护篇之安全相关的HTTP响应头

    有道无术,术尚可求,有术无道,止于术。 本系列Spring Boot 版本 3.0.4 本系列Spring Security 版本 6.0.2 源码地址:https://gitee.com/pearl-organization/study-spring-security-demo

    2024年02月07日
    浏览(44)
  • 宝塔严重未知安全性漏洞(宝塔面板或Nginx异常)

    问题简述 论坛上的帖子 https://www.bt.cn/bbs/thread-105054-1-1.html https://www.bt.cn/bbs/thread-105085-1-1.html https://hostloc.com/thread-1111691-1-1.html 数据库莫名被删 https://www.bt.cn/bbs/thread-105067-1-1.html 以下内容来自群友消息: 速报:宝塔面板疑似出现全新高危漏洞,目前已出现大面积入侵 影响版本

    2024年02月09日
    浏览(39)
  • 网络安全--linux下Nginx安装以及docker验证标签漏洞

    目录 一、Nginx安装  二、docker验证标签漏洞 1.首先创建 Nginx 的目录并进入: 2.下载 Nginx 的安装包,可以通过 FTP 工具上传离线环境包,也可通过 wget 命令在线获取安装包: 没有 wget 命令的可通过 yum 命令安装: 3.解压 Nginx 的压缩包: 4.下载并安装 Nginx 所需的依赖库和包:

    2024年02月11日
    浏览(48)
  • 中间件安全-CVE复现&IIS&Apache&Tomcat&Nginx漏洞复现

    中间件及框架列表: IIS,Apache,Nginx,Tomcat,Docker,Weblogic,JBoos,WebSphere, Jenkins ,GlassFish,Jira,Struts2,Laravel,Solr,Shiro,Thinkphp, Spring,Flask,jQuery等 1、中间件-IIS-短文件解析蓝屏等 2、中间件-Nginx-文件解析命令执行等 3、中间件-Apache-RCE目录遍历文件解析等 4、中间件

    2024年02月07日
    浏览(50)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包