安全渗透测评之nginx配置解决方案

已于 2022-08-15 09:13:00 修改
阅读量8k 收藏 29
点赞数 11
分类专栏: 精通安全之路 文章标签: 安全 nginx
于 2022-08-13 20:01:12 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/just_for_that_moment/article/details/125702223
版权

文章目录

一、背景

  1. 电脑普及
    随着计算机技术的普及,电脑已经走进平常百姓家,高手就会越来越多,我们自己的网站或者其他系统,在没有安全加固的情况下在网络上跑,基本等同于裸奔。
  2. 工作需要
    基于第一方面,我们现在很多系统在上线前都会找专业的安全公司,来对我们的系统安全性进行测试,以验证我们系统的安全性,本文就是这个问题的由来。

二、基本安全配置

2.1 host头攻击漏洞

该漏洞的防御主要是限制IP地址,在nginx中配置如下:

	if ($http_Host !~* ^192.168.55.66:8888$)
    {
        return 403;
    }
2.2、 点击劫持漏洞(X-Frame-Options)
2.2.1 基本原理

点击劫持(ClickJacking)是一种视觉上的欺骗手段。攻击者利用透明的、不可见的iframe,覆盖在一个网页上,此时用户在不知情的情况下点击了这个透明的iframe页面。通过调整iframe页面的css样式,可以使用户恰好点击在iframe页面的一些功能性按钮上。

HTTP 响应头信息中的X-Frame-Options,可以告诉浏览器是否应该加载一个 iframe 中的页面。系统可以通过设置 X-Frame-Options 阻止站点内的页面被其他页面嵌入从而防止点击劫持。

X-Frame-Options的默认值有以下三种:
1、DENY:不能被嵌入到任何iframe或者frame中。
2、SAMEORIGIN:页面只能被本站页面嵌入到iframe或者frame中。
3、ALLOW-FROM uri:只能被嵌入到指定域名的框架中。

2.2.2 nginx配置
add_header X-Frame-Options SAMEORIGIN;
2.3 X-Download-Options响应头缺失
2.3.1 基本原理

web浏览器在响应头中缺少 X-Download-Options,这将导致浏览器提供的安全特性失效,更容易遭受 Web 前端黑客攻击的影响。

2.3.2 nginx配置
add_header X-Download-Options 'noopen';
2.4 X-Permitted-Cross-Domain-Policies响应头缺失
2.4.1 基本原理

系统响应头缺少X-Permitted-Cross-Domain-Policies,将会导致浏览器的安全特性失效,其中X-Permitted-Cross-Domain-Policies可选的值有: none、master-only、 by-content-type 、by-ftp-filename 和all 。

2.4.2 nginx配置
add_header X-Permitted-Cross-Domain-Policies 'none';
2.5 Referrer-Policy响应头缺失
2.5.1 基本原理

当我们点击一个连接时,会产生一个http请求去获取新页面的内容,在该请求的header中会有一个referrer用以说明该请求是从哪个页面跳转过来的。如果缺少该字段会导致浏览器的安全特性消失,使我们的系统更容易受到攻击。

Referrer-Policy的默认选项有:no-referrer、no-referrer-when-downgrade origin、 origin-when-cross-origin、 same-origin 、strict-origin 、strict-origin-when-cross-origin和unsafe-url ,我们可以根据需要进行设置,像我们的CSDN网站就默认设置的unsafe-url

2.5.2 nginx配置
add_header Referrer-Policy "no-referrer";
2.6 Strict-Transport-Security响应头缺失
2.6.1 基本原理

系统缺少 Strict-Transport-Security,这将导致浏览器提供的安全特性失效,当我们系统请求头中包含 Strict-Transport-Security 头时,浏览器将持续使用 HTTPS 来访问 Web 站点,可以用来对抗协议降级攻击和 Cookie 劫持攻击。

2.6.2 nginx配置
add_header Strict-Transport-Security 'max-age=15552000';
2.7 Content-Security-Policy响应头缺失
2.7.1 基本原理

HTTP 响应头Content-Security-Policy允许站点管理者控制用户代理能够为指定的页面加载哪些资源。除了少数例外情况,设置的政策主要涉及指定服务器的源和脚本结束点。

Content-Security-Policy响应头的缺失使得目标URL更易遭受跨站脚本攻击。

2.7.2 nginx配置
add_header Content-Security-Policy "script-src * 'unsafe-inline' 'unsafe-eval'";
2.8 X-XSS-Protection响应头缺失
2.8.1 基本原理

HTTP X-XSS-Protection 响应头是 Internet Explorer,Chrome 和 Safari 的一个特性,当检测到跨站脚本攻击 (XSS)时,浏览器将停止加载页面。

X-XSS-Protection响应头的缺失使得目标URL更易遭受跨站脚本攻击。

2.8.2 nginx配置
add_header X-XSS-Protection '1;mode=block';
2.9 X-Content-Type-Options响应头缺失
2.9.1 基本原理

服务器用来提示客户端一定要遵循在 Content-Type 首部中对 MIME 类型 的设定,而不能对其进行修改。这就禁用了客户端的 MIME 类型嗅探行为,换句话说,也就是意味着网站管理员确定自己的设置没有问题。
X-Content-Type-Options响应头的缺失使得目标URL更易遭受跨站脚本攻击。

2.9.2 nginx配置
add_header X-Content-Type-Options 'nosniff';
2.10 会话cookie中缺少HttpOnly属性
2.10.1 基本原理

会话cookie中缺少HttpOnly属性会导致攻击者可以通过程序(JS脚本、Applet等)获取到用户的cookie信息,造成用户cookie信息泄露,增加攻击者的跨站脚本攻击威胁。

2.10.2 nginx配置
add_header Set-Cookie "Path=/; HttpOnly; Secure";

三、结语

道阻且长,行则将至,行而不辍,未来可期,加油。

如果文章解决了你的问题,对你的进步有那么一点帮助,那么就给点个赞支持一下,如果觉得文章非常对你的胃口,那么欢迎你关注我,这里有资源,有内推,有和你志同道合的朋友,咱们一起打怪升级。

程序猿每日分享
关注
  • 11
    点赞
  • 29
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
配置Nginx解决http host攻击漏洞
cai454692590的博客
02-29 1117
一定要注意 if后面要有空格。
Nginx屏蔽攻击
qq_44637753的博客
04-01 8594
Nginx屏蔽攻击 多IP 简单配置nginx.conf server { listen 80; server_name name1 name2; ##name可以为域名或者ip if ($http_Host !~* ^name1|name2$) ##name1和name2之间 连接符“|”无任何空格,有空格报错,如果是单域名(ip)省略“|name2”格式为“$http_Host !~* ^name1$” {
2024年最新Nginx配置Http响应安全策略_nginx content-security-policy(1),2024年最新网络安全开发框架
最新发布
2401_84267735的博客
05-11 567
当我学到一定基础,有自己的理解能力的时候,会去阅读一些前辈整理的书籍或者手写的笔记资料,这些笔记详细记载了他们对一些技术点的理解,这些理解是比较独到,可以学到不一样的思路。网安所有方向的技术点做的整理,形成各个领域的知识点汇总,它的用处就在于,你可以按照上面的知识点去找对应的学习资源,保证自己学得较为全面。观看零基础学习视频,看视频学习是最快捷也是最有效果的方式,跟着视频中老师的思路,从基础到深入,还是很容易入门的。最后就是大家最关心的网络安全面试题板块。
nginx-http-hsts:Nginx 模块添加适当的 Strict-Transport-Security 标
05-30
nginx HSTS 模块 ngx_http_hsts 模块为 nginx 中的 HTTP 严格传输安全提供支持。 依赖关系 nginx 1.xx 的来源及其依赖项。 建造 解压 nginx_ 源代码: $ tar zxvf nginx-1.x.x.tar.gz 解压缩摘要模块的源代码: $ unzip master.zip 切换到包含 nginx_ 源的目录,使用所需的选项运行配置脚本,并确保放置一个--add-module标志指向包含摘要模块源的目录: $ cd nginx-1.x.x $ ./configure --add-module=../nginx-http-hsts-master [other configure options] 构建并安装软件: $ make && sudo make install 使用模块的配置配置nginx。 例子 您可以通过将以下行添加到
nginx配置相关策略Content-Security-Policy、Referrer-policy
m0_46803792的博客
02-14 1万+
nginx配置相关策略Content-Security-Policy、Referrer-policy
Nginx配置Http响应安全策略
RisunJan的博客
10-22 1万+
1. 防止跨站脚本攻击(XSS):通过设置`CSP(Content-Security-Policy)`,可以限制浏览器只加载和执行来自特定来源的脚本,从而防止恶意脚本注入和执行。 2. 防止点击劫持攻击:通过设置`X-Frame-Options`响应,可以防止网页被嵌入到其他网站的`iframe`中,避免用户在不知情的情况下触发恶意代码。 3. 提高网站安全性:通过设置`STS(Strict-Transport-Security)`响应,强制浏览器使用`HTTPS协议`与服务器通信,从而防止信息在传输过
nginx网站安全漏洞修复
unhejing的博客
07-27 9957
前言:公司项目交付之前甲方进行了安全漏洞的扫描。大部分漏洞都是因为nginx响应没有加上仿攻击的响应。记录一下漏洞以及解决方法 1.检测到目标URL存在相对路径覆盖(RPO)漏洞 该漏洞是因为一下原因: --访问当前URL,检测响应是否配置了x-content-type-options; --如果没有配置,则检查响应内容,若响应内容是没有DOCTYPE声明的HTML,且存在相对路径引用的css、js资源,则认为存在该漏洞。 解决方法: 1⃣️ 去掉响应内容里面的相对路径。这个是由于代码之前引
nginx配置解决XSS漏洞问题
wangjian20000的专栏
03-01 7867
打开nginx.conf文件,找到对应的location模块, X-XSS-Protection 的字段有三个可选配置值,说明如下: 0: 表示关闭浏览器的XSS防护机制1:删除检测到的恶意代码, 如果响应报文中没有看到X-XSS-Protection 字段,那么浏览器就认为X-XSS-Protection配置为1,这是浏览器的默认设置1; mode=block:如果检测到恶意代码,在不渲染恶意代码 location模块新增如下配置信息, location / { add_header X-Con
Nginx配置SSL证书出错解决方案
01-08
当我把证书下载好,把nginx.conf配置好,简直就是万事俱备,只欠重启。结果一重启,duang~出错了。 nginx:[emerg]unknown directive ssl,就是这个错误提示 因为我们配置这个SSL证书需要引用到nginx的中SSL这模块,...
Linux系统Nginx日志解决方案.docx
11-16
Linux 系统 Nginx 日志解决方案 本文将详细介绍如何使用 Nginx、Promtail、Loki 和 Grafana 实现一个简单的 Nginx 日志展示解决方案。该解决方案旨在满足客户的需求,查看网站的访问情况,并且不依赖于 Google 或...
Nginx服务器配置性能优化方案
01-20
nginx.conf文件中,Nginx中有少数的几个高级配置在模块部分之上。 user www-data; pid /var/run/nginx.pid; worker_processes auto; worker_rlimit_nofile 100000; user和pid应该按默认设置 – 我们不会更改...
Python运维自动化之nginx配置文件对比操作示例
09-20
主要介绍了Python运维自动化之nginx配置文件对比操作,涉及Python针对文件的读取、遍历、比较进而达到差异对比的相关操作技巧,需要的朋友可以参考下
Nginx安装出现错误解决方案
01-09
1. 解压缩 nginx-1.8.1.tar.gz 2. 解压缩 fastdfs-nginx-module-master.zip 3. 进入nginx-1.8.1目录中 4. 执行 然后就出现了错误。 解决办法:  1.sudo apt-get update  2.sudo apt-get install libpcre3 ...
nginx安全策略问题
zhangiser的专栏
05-09 3157
不允许被嵌入,包括, , , 和 在nginxnginx.conf 的http 下面 加入安安全策略。这里主要是 frame-ancestors的参数需要调整。# 只允许被白名单内的页面嵌入。# 只允许被同源的页面嵌入。
配置Nginx解决http host攻击漏洞【详细步骤】
虽千万人,吾往矣
12-12 1万+
安全系统渗透测试出host攻击漏洞,下面是解决步骤。
nginx配置Strict Transport Security
qq_27195727的博客
01-05 3913
一个网站接受一个HTTP的请求,然后跳转到HTTPS,用户可能在开始跳转前,通过没有加密的方式和服务器对话,比如,用户输入http://zt.test.com或者直接zt.test.com。这样存在中间人攻击潜在威胁,跳转过程可能被恶意网站利用来直接接触用户信息,而不是原来的加密信息。网站通过HTTP Strict Transport Security通知浏览器,这个网站禁止使用HTTP方式加载,浏览器应该自动把所有尝试使用HTTP的请求自动替换为HTTPS请求。 HTTP Strict Transport
Nginx配置安全策略总结
智慧,不是知识、不是经验、不是思辩,而是超越自我中心的态度。
09-27 4359
基于AppScan安全扫描工具检测出来的服务器安全隐患,通过nginx负载的配置总结。
如何在Nginx配置HTTP安全响应
热门推荐
等风也等你的博客
05-09 1万+
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Mar
nginx漏洞修复之检测到目标URL存在http host攻击漏洞
tootsy_you的博客
07-11 3030
nginx漏洞修复记录
nginx配置无法与网站建立安全连接,怎么解决
09-04
要解决nginx配置无法与网站建立安全连接的问题,可以采取以下几个步骤: 1. 检查SSL证书:确保所使用的SSL证书是有效的,并且正确地安装在服务器上。可以使用SSL证书验证工具来检查证书的有效性。 2. 检查配置文件:确保nginx配置文件中的SSL相关项正确配置。例如,检查是否正确指定了SSL证书的路径和私钥的路径,并且确保SSL监听端口正确设置。 3. 检查防火墙设置:检查服务器上的防火墙设置,确保允许通过SSL监听端口进行访问。如果防火墙设置不正确,可能会导致无法建立安全连接。 4. 更新openssl库:如果nginx使用的openssl库版本过旧,可能会导致无法建立安全连接。可以尝试更新openssl库到最新版本,然后重新编译nginx。 5. 检查域名解析:如果使用了自定义域名,确保域名解析正确,指向了正确的服务器IP地址。可以通过ping命令或域名解析工具来验证域名解析是否正确。 6. 检查其他软件配置:如果服务器上还安装了其他软件,如反向代理服务器,确保它们的配置nginx的SSL配置相兼容。有时候,其他软件的配置可能会导致安全连接无法建立。 7. 查看日志文件:查看nginx的错误日志文件,通常位于/var/log/nginx/error.log,查找有关SSL连接错误的相关信息,以便进一步排查问题。 如果以上步骤都正确配置,并且问题仍然存在,可以尝试在论坛或在线技术社区上寻求帮助,以获取更详细的指导。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

程序猿每日分享

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值