实施经验-利用nginx保障web服务安全

最新推荐文章于 2024-05-28 17:17:08 发布
最新推荐文章于 2024-05-28 17:17:08 发布
阅读量414 收藏
点赞数
分类专栏: 实施 架构 文章标签: nginx
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lichangzhen2008/article/details/119175421
版权

文章目录

1.前言

记得刚来项目组时,每隔一段时间就报几个安全漏洞,然后就和团队小伙伴花一两天时间处理下,一会儿改java代码一会儿改前端,
前前后后也用去了很多时间。复盘整理下思路,发现走了不少弯路,大多数的安全漏洞都可以由nginx拦截,极少会涉及到后端业务代码调整。

安全问题属于系统架构级问题,要用系统架构的思维去解决 ,通过nginx配置,可以减少对后端业务开发的要求,而且现场实施人员,配置起来更可控

2. 常见安全问题

  1. 敏感信息泄露(中风险)
  • 漏洞描述:功能接口存在错误信息,暴露出业务数据、中间件、数据库、服务器等相关信息。功能接口响应请求时返回了业务数据、中间件、数据库、服务器等相关信息,导致服务器信息泄露。
  • 漏洞验证:通过请求 LINK 和 UNLINK 方法,服务端返回 501 状态码,返回数据中包括了Tomcat 服务器的版本信息:
  • 修复建议:1、自定义错误页面。2、不要将服务器的有关信息返回至前端。3、敏感数据脱敏、加密。
  1. 不安全的HTTP方法(中风险)
  • 漏洞描述:服务端开启了如 OPTIONS、TRACE 等不安全的 HTTP 方法,存在被非法利用、未授权访问的风险。
  • 漏洞验证:服务端开启了 OPTIONS 方法:
  • 修复建议:在不影响业务的情况下,服务端只开启 GET、POST 等方法。
  1. 跨域策略配置错误(中风险)
  • 漏洞描述:跨域策略允许任意来源的请求,存在被非法跨域、跨站请求伪造的风险。
  • 漏洞验证:Access-control-allow-origin:*
  • 修复建议:在不影响业务的情况下,根据最小权限原则修改跨域配置。

  1. 隐藏nginx版本号

  2. 响应头漏洞

3.最终方案

常用的安全测量要求,只要修改nginx.conf配置即可

http{

    #隐藏版本号
    server_tokens off;

    server {
            listen       80;
            server_name  www.iwen.com;


            # 响应头漏洞
            add_header X-Frame-Options "SAMEORIGIN";
            add_header X-XSS-Protection "1; mode=block";
            add_header X-Content-Type-Options "nosniff";

            # 利用Referer防盗链
            valid_referers none blocked www.mydomain.com *.mydomain.com 10.24.30.40;  # 这个地方不用写具体端口
            if ($invalid_referer) { 
                return  403; 
            } 
            # 拦截不安全的HTTP方法,只允许GET、POST 方法
            if ($request_method !~ ^(GET|POST)$) {
                return 403;
            }
            # 防止Host渗透攻击  :检测到目标URL存在http host头攻击漏洞
            set $flag 0;  # 通过flag判断多个域名的方法
            if ($http_Host = '10.85.24.28:8037') { # 若有端口写全端口
                set $flag 1;
            }
            if ($http_Host = 'x.com') {
                set $flag 1;
            }
            if ($flag != 1) {
                return 403;
            }
    }
}

3.1. 如果是多个域名,采用下列方法

nginx不支持and、or表达式,需要通过set命令实现

# 判断多个域名的方法
set $flag 0;
if ($http_Host = '10.85.24.28:8037') # 这个若有端口写全端口
{
    set $flag 1;
}
if ($http_Host = 'x.com')
{
    set $flag 1;
}
if ($flag != 1)  # 
{
    return 403;
}

3.2. 利用Referer防盗链

语法:valid_referers [none|blocked|server_names] …
默认值:no
使用字段:server, location
这个指令在referer头的基础上为 $invalid_referer 变量赋值,其值为0或1。
可以使用这个指令来实现防盗链功能,如果valid_referers列表中没有Referer头的值, $invalid_referer将被设置为1。
参数可以使如下形式:
none 意为不存在的Referer头(表示空的,也就是直接访问,比如直接在浏览器打开一个图片)
blocked 意为根据防火墙伪装Referer头,如:“Referer: XXXXXXX”。
server_names 为一个或多个服务器的列表,0.5.33版本以后可以在名称中使用“*”通配符。

例如:

location /photos/ { 
  valid_referers none blocked www.mydomain.com *.mydomain.com 10.24.30.40;  # 这个地方不用写具体端口
  
  if ($invalid_referer) { 
    return   403; 
  } 
}

参考

钢铁峡
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
安全开发运维必备,如何进行Nginx代理Web服务器性能优化与安全加固配置,看这篇指南就够了
WeiyiGeek 唯一极客IT知识分享
04-15 1311
本章目录 1.引言 1.1 目的 1.2 目标范围 1.3 读者对象 2.参考说明 2.1 帮助参考 2.2 参数说明 3.3 模块说明 3.服务优化 3.1 系统内核 3.2 编译优化 3.3 性能优化 3.4 运营优化 3.5 配置优化 4.安全配置 0.隐藏nginx服务及其版本 1.低权限用户运行服务 2.配置SSL及其会话复用 3.限制SSL协议与加密套件 4.拦截垃圾信息 5.恶意扫描拦截 6.禁用WebDAV 7.禁用Nginx状态模块 8.关闭默认错误页上的Nginx版本号 9
nginx web安全
yanggd1987的专栏
12-10 1077
最近在分析nginx日志发现,有很多可以ip访问网站根目录,如下: GET / - - 58.60.170.219 HTTP/1.1 [Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0)] GET / - - 58.60.170.219 HTTP/1.1 [Mozilla/5.0 (compatible; MSIE
nginx 安全配置
最新发布
fangxiang2008的博客
05-28 1324
nginx 安全配置
web应用安全基线-nginx安全配置
weixin_33744141的博客
11-22 1518
2019独角兽企业重金招聘Python工程师标准>>> ...
基于Nginx+Lua自建Web应用防火墙
yanggd1987的专栏
09-12 1762
简介 对于信息类网站,总是会被各种不同目的的爬虫、采集器等不断的抓取或恶意访问,这些会让网站不堪重负,导致页面无法正常访问,极大的影响用户体验。针对此种情况,我们就需要对所有的访问来进行访问控制。 此时Web应用防火墙(Web Application Firewall,简称 WAF)就可以助我们一臂之力,它可以为网站提供一站式安全防护。WAF可以有效识别Web业务流量的恶意特征,在对流量进行清洗和过滤后,将正常、安全的流量返回给服务器,避免网站服务器被恶意入侵导致服务器性能异常等问题,保障网站的业务安全和数
【云锁·nginx自编译web防护教程】
adidaos的博客
07-06 2839
一、哪些情况下需要自编译nginx防护插件? web服务使用的是nginx,并且用了https(云锁不支持https防护,所以需要自编译加入防护插件)。 没用https的可以采用反向代理的方式,也可以采用自编译模式。反向代理模式就是直接开启云锁pc端-应用防护-web防护就可以了。(如下图) (注意:使用https的一定要自编译,不然开启web防护可能会造成网站打不开) 二、ngi...
flask + nginx CSRFProtect
qq_39353327的博客
10-12 183
flask + nginx CSRFProtect CSRF(Cross-site request forgery):跨站请求伪造 flask csrf保护机制: 开启CSRF保护: app.config['SECRET_KEY'] = 'your secrets' csrf = CSRFProtect(app) CSRF 令牌: <input type="hidden" name="csrf_token" value="{{ csrf_token() }}"/> 全局禁用CSRF保护: a
Nginx(4):nginx目录保护与IP访问
qq_40836555的博客
04-30 348
nginx访问目录保护 1、在需要保护的虚拟主机server标签内建立location标签并添加一下代码 location /nginx_status{ stub_status on; access_log off; auth_basic "Welcome to nginx_status"; ...
Nginx防御与加固
qq_43665434的博客
05-20 575
Nginx防御与加固 1、日志配置 默认是开启日志的,我们可以在nginx.conf中配置日志格式log_format,存放路径。 cat /etc/nginx/nginx.conf 2、禁止目录浏览 在/etc/nginx/nginx.conf中加上 autoindex off 保存,重启即可。 3、限制目录执行权限 在/etc/nginx/nginx.conf中: # 去掉单个目录的php执行权限 location ~/attachements/.*\.(php|php5)?$ { de
你必须要知道的Nginx代理机制
weixin_47203783的博客
10-15 434
1.分类 1.反向代理(服务器端代理) 2.正向代理(客服端代理) 2反向代理 2.1概念 反向代理服务器位于用户与目标服务器之间,但是对于用户而言,反向代理服务器就相当于目标服务器,即用户直接访问反向代理服务器就可以获得目标服务器的资源。同时,用户不需要知道目标服务器的地址,也无须在用户端作任何设定。反向代理服务器通常可用来作为Web加速,即使用反向代理作为Web服务器的前置机来降低网络和服务器的负载,提高访问效率 2.2反向代理特点 代...
系统过载保护机制
刘阳的博客
01-06 2432
最近我们组自己开发了一个过载保护服务,用来解决服务或者站点过载导致系统雪崩的问题,最近看了下底层实现,还是很有参考意义的,接下来介绍下过载保护的功能和原理。 一.过载保护的作用 我们这里开发的过载保护的主要目的是:避免服务中的某个接口调用堆积导致的整个服务不可用,这里调用堆积的原因可能有两个 1.某个接口的访问量突然增大,达到了平时高峰调用量的几倍乃至几十倍。产生的原因可能为产品加了个类似于
详解Nginx限流配置
01-10
本文以示例的形式,由浅入深讲解Nginx限流相关配置,是对简略的官方文档的积极补充。 Nginx限流使用的是leaky bucket算法,如对算法感兴趣,可移步维基百科先行阅读。不过不了解此算法,不影响阅读本文。 空桶 我们从最简单的限流配置开始: limit_req_zone $binary_remote_addr zone=ip_limit:10m rate=10r/s; server { location /login/ { limit_req zone=ip_limit; proxy_pass http://login_upstream; } } $
nginx文件路径处理远程命令执行漏洞
qq_36028750的博客
03-22 917
nginx文件路径处理远程命令执行漏洞 详细描述: nginx是多平台的HTTP服务器和邮件代理服务器。 nginx可以被配置为以CGI的方式支持PHP的运行,nginx在处理PHP脚本文件路径的解析时存在问题。如果网站允许上传文件,而且上传文件路径可得到,远程攻击者可以利用此漏洞上传包含恶意代码的文件并得到执行,实现以Web进程权限执行任意命令。 解决办法:修改nginx的配置文件。 ①首先修改 fastcgi.conf文件,改为如下内容: if ($request_filename ~* (.*)\.p
CSRF(跨域请求伪造)和XSS(跨域脚本攻击)的概念和防范措施
tscn1的博客
03-22 1028
这里写目录标题CSRF(跨域请求伪造)原理:防御cookie的sameSite验证referer和Origin二次验证使用非cookie令牌XSS(跨域脚本攻击)存储型XSS反射型DOM型 CSRF(跨域请求伪造) 恶意网站以正常用户为媒介,通过模拟正常用户的操作,攻击其登录过的网站。 原理: 1. 正常用户登录后,获得正常站点的令牌,以cookie的形式保存。 2. 用户访问恶意站点,恶意站点通过某种形式去请求了正常网站,然后将用户的令牌传递到正常网站,完成攻击。 防御 cookie的sameSite
关于前后端分离以及前端部署Nginx
小白要成大神
01-11 5282
为什么要了解这个知识 因为笔者参与了学校的一个服务外包项目,我们选用的技术栈是springboot+vue的;又要考虑前后端分离,所谓适应时代的步伐。然而笔者是个菜鸡,所有笔者查看了一些博客,并将其进行总结。 那什么是前后端分离呢? 传统的web应用开发中,大多数将浏览器当做前后端的分界线。浏览器中为用户进行页面展示的部分称为前端。而将运行在服务器上,为前端提供业务逻辑和数据准备的所有代码称为后端...
Nginx与前端开发
weixin_33743880的博客
09-27 511
Nginx与Node.js “Nginx是一款轻量级的HTTP服务器,采用事件驱动的异步非阻塞处理方式框架,这让其具有极好的IO性能,时常用于服务端的反向代理和负载均衡。” 作为前端开发,即使没用过Nginx,但一定听说过上面这句话。这句经典的话,基本构成了所有人对Nginx的第一印象。 Nginx发布于2004年,经过初期几年的沉淀之后,迅速蹿升为“网红”,成为了当年互联网技术圈最火的词汇和...
Nginx常用命令
qq_45844358的博客
05-27 411
1.查看nginx版本号 ```powershell ./nginx -v ``` 2.启动nginxnginx的安装目录下进行sbi目录 ```powershell ./nginx ``` 3.查看防火墙允许的端口 ```powershell firewall-cmd --list-all ``` 4.添加防火墙允许通信的端口 ```powershell sudo firewall-cmd --add-port={端口号}/tcp --permanent ``` 5.重新启动防火墙 ```p
nginx 禁用不安全的http方法
热门推荐
wudinaniya的博客
01-10 1万+
安全防护角度考虑,一般我们要禁用不安全的 HTTP 方法,仅保留 GET、POST 方法。 nginx 禁用不安全的http方法,既可以在nginx配置文件 server 下进行全局设置,也可以在某个location下进行设置。 全局设置方式一 if ($request_method ~ ^(PUT|DELETE)$) { return 40...
web服务器启用了不安全的HTTP方法
bobozai86的博客
09-14 7839
1、什么是不安全的HTTP方法 开发人员、运维人员一般可能用于调试服务器,开启了一些客户端能够直接读写服务器端文件的方法,例如:DELETE, PUT, COPY, MOVE, PROPFIND, PROPPATCH, SEARCH, LOCK, UNLOCK 等HTTP协议支持的方法。 2、安全风险 可能直接通过浏览器直接在Web服务器上上传、修改或删除Web页面、脚本和文件。 3、不安...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值