Nginx1.3.9-1.4.0DOS(拒绝服务)验证

最新推荐文章于 2022-09-30 07:26:14 发布
置顶 VIP文章 最新推荐文章于 2022-09-30 07:26:14 发布
阅读量1.2w 收藏
点赞数 1
分类专栏: 点点滴滴 文章标签: 拒绝服务攻击 Nginx Dos 漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ssergsw/article/details/9144821
版权

     最近开始推动公司的安全工作,发现公司使用的nginx版本直接暴露给外网,我建议让运维人员伪装或者隐藏服务器版本,遭到拒绝,无奈之下只好提供一份暴露版本号会存在问题的实例。

    找了几个版本的漏洞,最新的是1.3.9-1.4.0版本的,对于一个畸形的HTTP请求没有正常处理,导致连接保持,最终资源耗尽而不能再对外提供服务,最初我以为我的VM能支持1000+的请求,结果不到200就挂了尴尬

测试环境:

CPU: Pentium(R) Dual-Core  CPU     E5800  @ 3.20GHz

内存:1G

操作系统:RHEL6.4

Nginx版本:1.4.0

下面是截图:

最低0.47元/天 解锁文章
ssergsw
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
nginx-1.13.3,nginx1.13.3不存在信息泄漏漏洞安全稳定nginx版本
10-09
亲测好用.nginx-1.13.3,nginx1.13.3不存在信息泄漏漏洞安全稳定nginx版本,不存在漏洞 nginx-1.13.3 nginx1.13.3 安全稳定 nginx版本
nginx常见问题
weixin_46651125的博客
07-19 4427
Keepalived的作用是检测服务器的状态,如果有一台web服务器宕机,或工作出现故障,Keepalived将检测到,并将有故障的服务器从系统中剔除,同时使用其他服务器代替该服务器的工作,当服务器工作正常后Keepalived自动将服务器加入到服务器群中,这些工作全部自动完成,不需要人工干涉,需要人工做的只是修复故障的服务器。
nginx解析php详细教程,解决Nginx+PHP文件类型错误解析漏洞的完美方法
weixin_39707597的博客
03-10 351
80Sec 爆出Nginx具有严重的0day漏洞,详见《Nginx文件类型错误解析漏洞》。只要用户拥有上传图片权限的Nginx+PHP服务器,就有被入侵的可能。例如用户上传了一张照片,访问地址为http://www.domain.com/images/test.jpg,而test.jpg文件内的内容实际上是PHP代码时,通过http://www.domain.com/images/test.jpg...
Nginx 安全漏洞
看着博客敲代码
12-22 1万+
Nginx 安全漏洞 漏洞引发的威胁: CVE-2021-23017 nginx存在安全漏洞,该漏洞源于一个离一错误在该漏洞允许远程攻击者可利用该漏洞在目标系统上执行任意代码。受影响版本:0.6.18-1.20.0 CVE-2019-9511,CVE-2019-9513,CVE-2019-9516 Nginx 1.9.51 至 16.0版本及1.17.2.版本中的HTTP/2实现中存在拒绝服务漏洞攻击者以多个数据流请求特定资源上的大量数据,通过操纵窗口大小和流优先级,强迫服务器将数据排列在1字节的块中,
nginx 拒绝服务漏洞(CVE-2016-4450)
qq_39496099的博客
05-28 2673
nginx 拒绝服务漏洞(CVE-2016-4450) 一、漏洞报告 以上漏洞一般都并发存在,原因是nginx版本问题。受影响的版本有: Nginx Nginx 1.11 Nginx Nginx 1.10 Nginx Nginx 1.9.10 Nginx Nginx 1.9.9 Nginx Nginx 1.8.1 Nginx Nginx 1.3.16 Nginx Nginx 1.3.15 Nginx Ngi 二、修复建议 http://nginx.org/en/download.html 下载贴合自己环境
Nginx HTTP/2模块远程拒绝服务漏洞
罗彬桦的博客
08-25 992
漏洞描述:漏洞存在于ngx_http_v2_module模块之中(默认情况下不编译,编译时需要开启--with-http_v2_module,同时将listen http2添加到配置文件中),当用户添加http2支持时,攻击者可以发送特制的HTTP/2请求,可能导致过多的内存消耗(CVE-2018-16843)和CPU使用率(CVE-2018-16844),最终导致服务器DoS。 方案一: 升级至Nginx最新安全版本(1.15.6或1.14.1),官方下载链接:http://nginx.org/en
拒绝网络攻击--nginx和linux的安全加固
m0_52508197的博客
09-30 3111
拒绝网络攻击--nginx和linux的安全加固
【安全预警】关于 Nginx 多个模块安全漏洞的通知
u013195691的博客
11-14 1352
近日,腾讯云安全中心监测到 Nginx 被曝存在拒绝服务漏洞漏洞编号:CVE-2018-16843/CVE-2018-16844/CVE-2018-16845),攻击者可利用该漏洞进行拒绝服务攻击,从而造成资源耗尽,服务不可用。 为避免您的业务受影响,腾讯云安全中心建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。 【漏洞详情】 CVE-2018-16...
nginx-1.4.0
11-21
nginx-1.4.0 nginx-1.4.0 nginx-1.4.0 nginx-1.4.0nginx-1.4.0 nginx-1.4.0nginx-1.4.0 nginx-1.4.0nginx-1.4.0 nginx-1.4.0nginx-1.4.0 nginx-1.4.0nginx-1.4.0 nginx-1.4.0
nginx-1.4.0:用于CVE-2013-2028的分析
05-14
nginx-1.4.0 用于的 漏洞利用:exp-nginx.rb 二进制文件(用于rop构建):nginx
Nginx安装包1.9.3
10-09
Nginx安装包1.9.3 模块依赖性Nginx需要依赖下面3个包 1. gzip 模块需要 zlib 库 ( 下载: http://www.zlib.net/ ) 2. rewrite 模块需要 pcre 库 ( 下载: http://www.pcre.org/ ) 3. ssl 功能需要 openssl 库 ( 下载: http://www.openssl.org/ )
拒绝服务攻击原理及解决方法
03-01
Internet给全世界的人们带来了无限的生机,真正实现了无国界的全球村。但是还有很多困绕我们的因素,象IP地址的短缺,大量带宽的损耗,以及政府规章的限制和编程技术的不足。现在,由于多年来网络系统累积下了无数的漏洞,我们将面临着更大的威胁,网络中潜伏的好事者将会以此作为缺口来对系统进行攻击,我们也不得不为以前的疏忽付出更大的努力。虽然大多的网络系统产品都标榜着安全的旗号,但就我们现在的网络协议和残缺的技术来看,危险无处不在。 拒绝服务攻击是一种遍布全球的系统漏洞,黑客们正醉心于对它的研究,而无数的网络用户将成为这种攻击的受害者。Tribe Flood Network, tfn2k, smurf, targa…还有许多的程序都在被不断的开发出来。这些程序想瘟疫一样在网络中散布开来,使得我们的村落更为薄弱,我们不得不找出一套简单易用的安全解决方案来应付黑暗中的攻击
win环境使用nginxnginx-http-flv-module.zip
08-24
在windows 7 64位 环境下使用nginxnginx-http-flv-module搭建flv视频流播放所有的安装包,参考:https://blog.csdn.net/qq_33071429/article/details/102628008
ingress-nginx-controller-1.9.yaml
10-18
三处image需要修改(若官方deplo.yaml中的image可以拉取,则不需要改image),另两个文件是测试ingress规则是否生效的yaml。
windows下编译nginx-http-flv-moudle
11-18
windows下编译nginx-http-flv-moudle,编译好的,下载开箱可用,作者亲测。用于直播推流,浏览器flvjs播放视频,支持无插件flash播放。
IPV6开启状态下,tomcat监听IPV4端口
热门推荐
11-20 4万+
今天被人问了一个“奇怪”的问题,说本地服务开启,自己能访问,别人访问不了,遇到这种问题,一般是防火墙规则导致的,所以我先建议关闭了防火墙,结果还是不能正常访问,于是又想起了mysql在开启IPV6的时候,如果想监听IPV4端口需要在配置文件中单独配置,问题终于解决。     第一,查看本地的监听【windows下】: C:\Users\Long80A>netstat -an | findstr
IPAD上访问WINDOWS环境远程桌面---三款软件比较
08-03 3万+
昨天在会上想给大家演示一下几个问题,我准备演示的是楼下开了远程桌面的WINDOWS系统,但会上只有两个LINUX的笔记本,无奈之下,只好放弃远程桌面的演示,回来后想找个支持免费的IPAD远程桌面访问工具,最终选了三个软件,下面简单比较一下,以下比较仅作为个人使用中的心得,如果不妥之处,敬请谅解。 软件名称 是否需要注册 免费版本支持连接的个数 免费访问局域网 免费访问
解决svn: Can't convert string from 'UTF-8' to native encoding问题
11-05 3万+
更新SVN的时候遇到错误:svn: Can't convert string from 'UTF-8' to native encoding: 查看locale  :  [root@103 test]# locale              LANG=en_US LC_CTYPE="en_US" LC_NUMERIC="en_US" LC_TIME="en_US" LC_COLLA
LINUX下把多行文件合并成一行,并组装成SQL
08-20 2万+
先说一下适用的场景,市场部那边希望看到某些商品中“黄牛”用户的活动情况,以及“黄牛”使用代金券的情况,然后发一个excel文件过来,拿到文件先复制到notepad++中,格式类似: id name price 1 name1 price1 2 name2 price2 3 name3 price3 4 name4 price4 5 name5 price5 6
chkconfig nginx on chkconfig nginx --list
最新发布
12-27
在源码编译安装的Nginx中,没有像Ubuntu那样自带的service启动脚本,因此无法直接使用类似"nginx start"的命令来启动、重启、停止或重新加载Nginx服务。相反,可以使用chkconfig命令来管理Nginx服务的启动和停止。 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值