学习日志5:web中间件漏洞-Nginx篇

最新推荐文章于 2022-11-09 18:50:10 发布
VIP文章 最新推荐文章于 2022-11-09 18:50:10 发布
阅读量258 收藏 1
点赞数
分类专栏: 学习笔记 文章标签: 学习笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_37622973/article/details/100534675
版权

Nginx漏洞

什么是Nginx:Nginx(engine x)是一个高性能的HTTP和反向代理web服务器,同时也提供了IMAP/POP3/SMTP服务,特点是占有内存少, 并发能力强,事实上nginx的并发能力确实在同类型的网页服务器中表现较好

漏洞:
1.文件解析
(1)版本:<8.03
(2)利用方式:上传a.jpg/x.php,则a.jpg被解析成x.php执行
(3)修复:
(1)将php.ini文件中的cgi.fix_pathinfo的值设为0.这样php在解析1.php/1.jpg这样的目录时,只要1.jpg不存在就会显示404
(2)将/etc/php5/fpm/pool.d/www.conf中security.limit_ectensions后面的值设为.php

2.目录遍历
修复:将/etc/nginx/sites-avaliable/default里的autoindex on改为autoindex off

3.CRLF注入
(1)原因:Nginx处理请求时常做如下30x跳转处理:
用户访问http://a.com/b,自动跳转到https://a.com/b
用户访问http://a.com/b,自动跳转到http://www.a.com/b
Nginx处理过程
location / {
return 302 https://$ host$ uri;
}
其中$uri是解码以后的请求路径,所以可能就会包含换行符,也就造成了一个CRLF注入漏洞。
CRLF注入漏洞可以导致会话固定漏洞、设置Cookie引发的CSRF漏洞或者XSS漏洞。
(2)案例:访问http//:www.a.com/%0d%

最低0.47元/天 解锁文章
丫郎酸
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
docker-springboot-nginx:docker-springboot-nginx的示例
05-09
[在Docker上运行的Nginx上带有freemarker的Spring Boot webapp] 你会建立什么 在NGINX后面和docker容器运行的Spring Boot应用程序演示 你需要什么 Docker CE 堆 码头工人 Java Sprint Boot NGINX 玛文 跑步 运行...
Nginx日志功能介绍
new9232的博客
05-28 1291
日志对于程序很重要,可用于问题排错,记录程序运行状态等。好的日志可以大大提高程序员的排错效率。Nginx主要有访客日志和错误日志两大部分。
网络安全应急响应-日志分析技术
Bnessy
03-24 5933
Web日志分析 一 、HTTP基础 1. HTTP报文格式解析 HTTP请求报文 HTTP请求包括3部分,分别是请求行、请求头和请求正文。 Windows NT 10.0表示操作系统内核版本号,Windows XP内核号是NT 5.1或NT 5.2(64位操作系统),Windows Vista的内核版本号是NT 6.0,Windows 7的内核版本号是NT 6.1,Windows 8的内核版本号是NT 6.2,Windows 10的内核版本号是NT 10.0。 rv:98.0是Firefox浏览器的软件
Nginx 修改配置无效(低级踩坑记录 )
weixin_39464761的博客
11-19 6483
Nginx 智障坑记录 系统:ubuntu 18.04 文件路径: /etc/nginx/ 先说结果: 更改 /nginx/nginx.conf 重新加载发现无效, 发现是默认加载的conf 文件没有注释掉。 注释掉再更改就可以了。 http { include /etc/nginx/conf.d/*.conf; // 读到这个地方是加载另一个默认配置配置文件default.con
Nginx —— nginx服务的基本配置(nginx.conf文件的详解)
热门推荐
杰儿__er 的博客
12-17 17万+
Nginx在运行时候,至少要加载几个核心模块和一个事件类模块。这些模块运行时所支持的配置项称为基本配置——所有其他模块执行时都依赖的配置项。 由于配置项较多,所以把它们按照用户使用时的预期功能分成以下4类: 用于调试、定位问题的配置项; 正常运行的必备配置项; 优化性能的配置项; 事件类配置项(有些事件类配置项归纳到优化性能类,这是因为它们虽然也属于event{}块,但作用是优化性能...
网络安全应急响应----11、日志分析
七天
03-24 1万+
文章目录一、Windows日志二、Linux日志三、Web日志3.1、IIS中间件日志3.2、Apache中间件日志3.3、Tomcat中间件日志3.4、Weblogic3.5、Nginx中间件日志 一、Windows日志 Windows日志记录着Windows系统硬件、软件和系统问题的信息,同时还可以监视系统发生的事件,掌握计算机在特定时间的状态,以及了解用户的各种操作行为,并且包括有关系统、安全、应用程序的记录。 Windows系统之后,日志文件通常分为系统日志(SysEvent) 、应用程序日
headers-more-nginx-module-0.34
08-10
headers-more-nginx-module-0.34
Nginx-PHP5-FPM-Restart-Fix-on-Ubuntu:修复了Ubuntu-Nginx服务php5-fpm重新启动问题
02-06
Ubuntu上的Nginx PHP5 FPM重新启动修复 stop: Unknown instance:运行服务php5-fpm后重新启动? 正常。 该脚本解决了Ubuntu-Nginx服务php5-fpm重新启动的问题。 这是一个已知的错误,已重新出现。 如果您运行tail -f ...
nginx-modsecurity-ubuntu:适用于modsecurity-nginx的Ubuntu软件包
02-06
nginx-modsecurity-ubuntu:适用于modsecurity-nginx的Ubuntu软件包
ingress-nginx-controller-1.9.yaml
最新发布
10-18
三处image需要修改(若官方deplo.yaml的image可以拉取,则不需要改image),另两个文件是测试ingress规则是否生效的yaml。
中间件Nginx总结
weichenyang的博客
11-09 1603
Nginx总结
HTTPS
JDH327124的博客
09-25 925
1.rewrite的flag 跳转(1)redirect---302----临时跳转----旧网站无影响,新网站无排名(浏览器不会记住新域名) (2)permanet---301---永久跳转----新跳转网站有排名,旧网站排名清空(浏览器会记录新域名) 跳转模块:在server执行 (1)rewrite ^/$ https://$http_h...
三个案例看Nginx配置安全
zhangge3663的博客
08-24 332
之前在Sec-News推荐了一个开源程序https://github.com/yandex/gixy,作用是来检测Nginx配置文件存在的问题。正好Pwnhub上周的比赛也出现了一道题,包含由Nginx配置错误导致的漏洞。 所以我挑选我觉得比较 趣,而且很有可能犯错误的三个典型案例,来说说Nginx配置文件的安全。 另外,本文所涉及的三个案例,均已上线到Vulhub(https://github.com/phith0n/vulhub/tree/master/nginx/insecure-co...
Nginx日志详解
go|Python的个人博客
01-04 7593
Nginx日志作用 Nginx日志对于统计、系统服务排错很有用。Nginx日志主要分为两种:access_log(访问日志)和error_log(错误日志)。通过访问日志我们可以得到用户的IP地址、浏览器的信息,请求的处理时间等信息。错误日志记录了访问出错的信息,可以帮助我们定位错误的原因。 log_format定义日志格式 Nginx预定义了名为main日志格式,如果没有明确指定日志格式默认使用该格式: log_format main '$remote_addr - $remote_user [$ti
Nginx日志管理
kwinH的博客
07-20 424
解析日志格式我们观察nginx的server段,可以看到如下类似信息 access_log logs/host.access.log main; 这说明 该server, 它的访问日志文件是 logs/host.access.log , 使用的格式”main”格式. 除了main格式,我们可以自定义其他格式. main格式是什么?main默认的日志格式: log_f
nginx解析漏洞,配置不当,目录遍历漏洞环境搭建、漏洞复现
diecai2192的博客
12-01 390
nginx解析漏洞,配置不当,目录遍历漏洞复现 1.Ubuntu14.04安装nginx-php5-fpm 安装了nginx需要安装以下依赖 sudo apt-get install libpcre3 libpcre3-dev sudo apt-get install zlib1g.dev sudo apt-get install libssl-dev 安装php: apt-get i...
nginx 强制跳转https
j6915819的专栏
08-31 1713
一、Nginx安装(略) 安装的时候需要注意加上 --with-http_ssl_module,因为http_ssl_module不属于Nginx的基本模块。 Nginx安装方法: 1 2 # ./configure --user=www --group=www --prefix=/usr/local/nginx --with-ht
nginx 日志配置
leone的博客
04-25 3033
nginx access_log nginx 日志说明 不同用户防卫Nginx会把每个用户访问往咱的日志信息记录到指定的日志文件里,供网站管理员分析用户浏览行为等,此功能又ngx_http_log_module 模块负责。 控制访问日志的参数 参数 说明 log_format 通过不同的名称来定义日志的输出格式,可以定义多个 access_log 用来指定日志保存的路径和使用的...
apiVersion: apps/v1 kind: Deployment metadata: name: nginx-deployment spec: selector: matchLabels: app: nginx replicas: 5 template: metadata: labels: app: nginx spec: affinity: nodeAffinity: requiredDuringSchedulingIgnoredDuringEXecution: nodeSelectorTerms: - matchExpressions: - key: gpu operator: In values: - "true" containers: - name: nginx image: registry.cn-hangzhou.aliyuncs.com/wsl_images/nginx:latest imagePullPolicy: IfNotPresent ports: - containerPort: 80 执行后报错[root@server1 ~]# kubectl apply -f nginx.yaml Error from server (BadRequest): error when creating "nginx.yaml": Deployment in version "v1" cannot be handled as a Deployment: strict decoding error: unknown field "spec.template.spec.affinity.nodeAffinity.requiredDuringSchedulingIgnoredDuringEXecution"
07-15
name: nginx-deployment spec: selector: matchLabels: app: nginx replicas: 5 template: metadata: labels: app: nginx spec: affinity: nodeAffinity: ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值