nginx启用了自动目录列表功能的安全漏洞修复方法

最新推荐文章于 2024-09-22 15:06:10 发布
最新推荐文章于 2024-09-22 15:06:10 发布
阅读量1.3k 收藏
点赞数
文章标签: nginx 服务器 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/BHSZZY/article/details/133386941
版权
文章讲述了在Nginx服务器上遇到的安全漏洞,涉及自动目录列表功能开启导致的目录暴露问题。给出了将`autoindexon`改为`autoindexoff`并重启Nginx的解决方案,以及默认配置中关闭目录浏览的提示。
摘要由CSDN通过智能技术生成

一、前言

最近被扫描到安全漏洞,说是nginx启用了自动目录列表功能,现象就是访问http://localhost/file就能看到服务器上的目录

二、修复方法

1.把nginx.conf中的autoindex on改为autoindex off

location /file {
		alias   /myuser/userfile/file;
		autoindex off;
	}

(这个配置映射到了服务器的file目录下,如果是on,就会看到目录,改为off就可以了)

2.重启nginx

sudo nginx -s reload
nginx -s reload

三、备注

Nginx 中默认不会开启目录浏览功能,若您发现当前已开启该功能,可以编辑nginx.conf文件,删除如下两行:autoindex on;autoindex_exact_size on,然后重启Nginx。

服务器HTTP响应头安全性优化与漏洞修复方案
Bertram的博客
08-09 509
服务器HTTP响应头安全性优化与漏洞修复方案
10步打造坚不可摧的Nginx网站:性能与安全的终极指南
java专栏
07-28 1027
在开始我们的冒险之前,让我们先来认识一下HTTP/2。HTTP/2是基于HTTP/1.1的扩展,它引入了多路复用、头部压缩、服务器推送等新特性,让数据传输变得更加高效。简单来说,HTTP/2就像是一个超级英雄,能够让我们的网站加载速度飞快,用户体验棒棒哒!在我们深入配置之前,让我们先来深入了解一下HTTP/2。HTTP/2是基于HTTP/1.x的扩展,它旨在解决HTTP/1.x中的一些性能问题,比如队头阻塞(Head-of-Line Blocking)。
目录遍历漏洞和任意文件下载漏洞
2ed
06-23 5278
目录浏览(目录遍历)漏洞 目录浏览漏洞是由于网站存在配置缺陷,导致网站目录可以被任意浏览,这会导致网站很多隐私文件与目录泄露,比如数据库备份文件、配置文件等,攻击者利用该信息可以为进一步入侵网站做准备。 目录浏览漏洞的探测 :可以利用web漏洞扫描器扫描web应用进行检测,也可通过搜索,网站标题包含“index of”关键词的网站进行访问 目录浏览漏洞的危害:攻击者通过访问网站某一目录时,该目录没...
网站发现目录启用自动目录列表功能
WinJay
04-09 392
1、如果必须开启该目录目录列表功能,则应对该目录下的文件进行详细检查,确保不包含敏感文件。 2、如非必要,请重新配置WEB服务器,禁止该目录自动目录列表功能。 附:1. Apache禁止列目录方法一,修改 httpd.conf配置文件,查找 Options Indexes FollowSymLinks,修改为 Options -Indexe...
nginx常见漏洞解析_nginx漏洞
最新发布
2401_87298532的博客
09-22 1656
0×1HTTP返回包头:就是httpresponsHTTP返回包体:就是请求的具体文件,例如出来个网页资源,网页内嵌套的内容等等。content-range是什么?range是什么?存在于HTTP请求头中,表示请求目标资源的部分内容,例如请求一个图片的前半部分,单位是byte,原则上从0开始,但今天介绍的是可以设置为负数。range的典型应用场景例如:断点续传、分批请求资源。content-range的表达方式:Range:bytes=0-1024 表示访问第0到第1024字节;
发现目录启用自动目录列表功能apache如何设置。【解决方案】
小崔开发
03-15 5502
解决方案: 1、如果必须开启该目录目录列表功能,则应对该目录下的文件进行详细检查,确保不包含敏感文件。 2、如非必要,请重新配置WEB服务器,禁止该目录自动目录列表功能。 附:1. Apache禁止列目录方法一,修改 httpd.conf配置文件,查找 Options Indexes FollowSymLinks,修改为 Options -Indexes;   方法
Nginx打开目录列表功能
weixin_34234823的博客
08-17 113
Apache可以直接打开目录列表nginx也有这种目录浏览功能,可以直接显示目录下的文件,但nginx默认是关闭的,如果需要此功能,则打开即可。 直接在根目录打开,则在server里加上如下三行即可。 autoindex on;autoindex_localtime on;autoindex_exact_size off; 外两个参数最好也加上去: autoindex_exa...
nginx自动列表目录配置
天堂鸟(积累备忘)
10-19 172
只要在nginx.cof中配写一下配置: [code="java"]location / { . . . autoindex on; . . . }[/code] 就可以实现自动列出目录
Centos7系统安全漏洞修复方案
热门推荐
sara的博客
04-20 2万+
以下所有漏洞均为Centos7的系统漏洞修复,为离线内网环境;某些服务由Docker镜像部署。 1、Docker Remote API 未授权访问漏洞【原理扫描】 详细描述 Docker是一个开源的应用容器引擎,让开发者可以打包他们的应用以及依赖包到一个可移植的容器中,然后发布到任何流行的LINUX机器上,也可以实现虚拟化。 Docker swarm 是一个将docker集群变成单一虚拟的docker host工具,使用标准的Docker API,能够方便docker集.
Nginx安全配置指南技术手册.pdf(应用技术指南).txt
07-17
定期检查并更新Nginx到最新版本,可以及时修复已知的安全漏洞。 ```bash sudo apt-get update sudo apt-get upgrade nginx ``` ### 四、高级安全配置技巧 #### 4.1 使用WAF(Web应用防火墙) 部署Web应用防火墙...
11步打造坚不可摧的Nginx:从入门到实战的网络安全指南
java专栏
09-08 1046
首先,让我们来认识一下我们的主角——NginxNginx,听起来就像是“Engine X”,仿佛是某种超级引擎,而它确实也是!🚀 Nginx是一个开源的、高性能的Web服务器和反向代理服务器,它能够处理成千上万的并发连接,而且还能作为邮件代理服务器和负载均衡器。简而言之,Nginx就是一个多才多艺的网络超人!接下来,我会详细介绍一些重要的配置项,这些就像是我们“食谱”中的关键食材。:这定义了Nginx的工作进程数。通常,你可以设置为CPU核心数。:每个工作进程可以打开的最大连接数。sendfile。
php关闭网页目录显示,关闭CPanel面板中网站默认根目录显示索引的方法发现目录启用自动目录列表功能解决办法)...
weixin_39818662的博客
03-11 393
两种关闭CPanel面板中网站默认根目录显示索引的方法(发现目录启用自动目录列表功能解决办法)登录CPanel面板,点击文件管理器,然后会自动弹出索引管理器目录选择,在根文档里选中你的域名,点GO按钮。然后会列出目录,你点想要保护的目录文件夹即可,会显示一个选项列表,再选中相关文件修改,步骤如下:另外,也可以直接通过FTP登录修改编辑.htaccess文件加入:Options All -Inde...
开启Nginx目录文件列表功能
蔡定努
04-29 554
ngx_http_autoindex_module 此模块用于自动生成目录列表,ngx_http_autoindex_module只在 ngx_http_index_module模块未找到索引文件时发出请求. nginx默认是不允许列出整个目录的。 开启目录列表: 打开nginx.conf文件,在location server 或 http段中加入 autoindex on; http...
nginx和apache配置目录浏览功能
weixin_30275415的博客
11-23 204
今天工作需要,要给客户提供一个patch的下载地址,于是想用nginx目录浏览功能来做,需要让客户看到指定一个目录下的文件列表,然后让他自己来选择该下载那个文件; 我们都知道在apache下可以配置访问web服务器的某个路径时,自动显示其目录下面的文件列表的,其实Nginx一点也不比apache弱,它当然也可以实现这个功能,而且还非常容易和简单;主要用到autoindex 这个参数来开启,其配...
目录浏览 网站目录可列 漏洞原理以及修复方法
it知识分享 free for nothing..
02-28 2020
目录浏览 网站目录可列 漏洞原理以及修复方法
Nginxnginx目录遍历漏洞
kevin的博客
07-14 4835
除了X-Forwarded-For伪造客户端IP漏洞,发现还要修改关于目录遍历的漏洞,这里简单记录一下。Nginx 目录遍历(Nginx Directory Traversal)是一种安全漏洞,通常会影响 Nginx 服务器上的 Web 应用程序。该漏洞允许攻击者通过利用应用程序代码中的错误配置或代码漏洞,来访问系统中未经授权的文件和目录
NGINX 自动目录
weixin_33835103的博客
08-13 103
、、、 转载于:https://blog.51cto.com/skyson/638565
SSL-TLS安全漏洞检测与Apache、Nginx修复教程
- 修改NGINX配置文件中的`ssl_ciphers`参数,禁用不安全的加密套件,并启用更安全的选项,如`ECDHE-RSA-AES256-GCM-SHA384`等。然后执行`sudo service nginx reload`重新加载配置。 - 另外,设置`ssl_prefer_...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

追逐梦想永不停

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值