pentest 渗透测试 nginx配置

最新推荐文章于 2024-04-30 17:51:04 发布
VIP文章 最新推荐文章于 2024-04-30 17:51:04 发布
阅读量353 收藏
点赞数
分类专栏: 网络安全 文章标签: nginx 服务器 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_66173671/article/details/122337370
版权

1. nginx 错误页面隐藏版本号
场景:部分系统服务器端返回的HTTP头中,泄露了服务器采用的中间件信息(类型,版本)nginx,apache,攻击者可以缩小攻击范围,针对中间件存在的漏洞发起攻击

修改:ngixn/bin/nginx.conf中在http或者server中添加如下配置

server_tokens off;
2. X-Frame-Options
  这个header主要用来配置哪些网站可以通过frame来加载资源。它主要是用来防止UI redressing 补偿样式攻击。IE8和firefox 18以后的版本都开始支持ALLOW-FROM。chrome和safari都不支持ALLOW-FROM,但是WebKit已经在研究这个了。

X-Frame-Options 响应头有三个可选的值:

DENY:页面不能被嵌入到任何iframe或frame中;

SAMEORIGIN:页面只能被本站页面嵌入到iframe或者frame中;

ALLOW-FROM:页面允许frame或frame加载。

// 正确的设置

DENY – 禁止所有的资源(本地或远程)试图通过frame来加载其他也支持X-Frame-Options 的资源。  
SAMEORIGIN – 只允许遵守同源策略的资源(和站点同源)通过frame加载那些受保护的资源。  
ALLOW-FROM http://www.example.com – 允许指定的资源(必须带上协议http或者https)通过frame来加载受保护的资源。这个配置只在IE和firefox下面有效。其他浏览器则默认允许任何源的资源(在X-Frame-Options没设置的情况下)。 

// 通

最低0.47元/天 解锁文章
路飞海米
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
pentest:渗透测试知识库
03-30
渗透测试知识库 方法,命令和培训的集合。
[Vulhub] Nginx漏洞
weixin_45605352的博客
06-09 1680
文章目录@[toc]Nginx 解析漏洞0x00 漏洞描述0x01 影响版本0x02 靶场环境0x03 漏洞分析0x04 漏洞复现Nginx 文件名逻辑漏洞(CVE-2013-4547)0x00 漏洞描述0x01 影响版本0x02 靶场环境0x03 漏洞分析0x04 漏洞复现Nginx越界读取缓存漏洞(CVE-2017-7529)0x00 漏洞描述0x01 影响版本0x02 靶场环境0x03 漏洞分析0x04 漏洞复现Nginx 配置错误导致漏洞Mistake 1. CRLF注入漏洞0x00 漏洞描述0x0
渗透测试报告范本PenTest Report Sample
07-30
渗透测试报告范本PenTest Report Sample, Offensive Security 出品,值得拥有!
sql注入空格被过滤_网站渗透:SQL注入与WAF绕过思路分享
weixin_39657444的博客
11-16 553
一、前言这个注入是之前测试时发现的,但是测试的时候发现有防护,但是想想这么个小网站都绕不过,实在不应该啊。开始补充学习各种场景、各种waf绕过姿势,勉勉强强的成功执行我构造的SQL的语句。趁着还有些印象,就写下过程当记录吧,本次全程打码,纯技术分享。二、注入发现首先,网打开是这样的,好熟悉的表单面,常规测试一下,XSS、SQL注入,XSS我都玩腻了感觉没啥好研究的。随便碰碰运气测下SQL注入...
从零开始的渗透测试学习(十)
szyqz的博客
07-27 241
Nginx(发音为"engine-x")是一个高性能的开源Web服务器和反向代理服务器。:Nginx旨在提供高性能、稳定性和低资源消耗的Web服务器功能。它能够处理大量并发连接并快速响应客户端请求。Nginx支持静态和动态内容的传输,并提供了强大的配置选项,使得开发人员可以灵活地配置和优化服务器。:作为反向代理服务器Nginx可以代理来自客户端的请求,并将这些请求转发到后端服务器。通过使用反向代理,Nginx可以实现负载均衡、缓存、SSL终端和请求分发等功能。
安全渗透测评之nginx配置解决方案
just_for_that_moment的博客
08-13 7917
host头攻击漏洞,点击劫持漏洞,X-Download-Options响应头缺失,X-Permitted-Cross-Domain-Policies响应头缺失,Referrer-Policy响应头缺失,Strict-Transport-Security响应头缺失,Content-Security-Policy响应头缺失,X-XSS-Protection响应头缺失,X-Content-Type-Options响应头缺失,会话cookie中缺少HttpOnly属性......
安全渗透测试解决方法以及使用nginx进行解决
qq_45621643的博客
12-07 935
线上安全环境维护
1.4 Nginx显示默认首过程解析
Xx13624558575的博客
05-12 5720
上一节我们安装并运行了Nginx,这节我们看一下它的默认首是如何加载出来的。
10.100个渗透测试实战#10(DC-5)
qwsn
03-30 2598
世间一切即可努力 ...
http 错误 500.0 - internal server error_HTTP头信息泄露
weixin_32325225的博客
01-14 839
漏洞描述:在服务器返回的HTTP头中泄露服务器信息测试方法:burpsuite,fiddler,浏览器F12查看响应包的信息单个网站可以这样查看,但是网站多了,这样就太麻烦了,有100个网站难道要查看100次,有的人愿意查看100次, 我比较懒,写个脚本直接批量查询。单个查看的脚本,代码用法如下:import sys import requests #从命令行获取url url = sys....
learn-pentest:学习渗透测试实践
03-28
learn-pentest:学习渗透测试实践
javasnmp源码-pentest:渗透测试
06-04
java snmp 源码 Author: Blog: Table of Contents 信息搜集 开源情报信息收集(OSINT) ...Github_Nuggests(自动爬取Github上文件敏感信息泄露) ...GSIL(能够实现近实时(15分钟内)的发现Github上泄露的信息) ...
无线渗透测试入门指南kali-linux-wireless-pentest-master.zip
01-30
无线渗透测试入门指南kali-linux-wireless-pentest-master.zip
linux 磁盘管理
weixin_42795092的博客
04-29 1141
在mm下新建文件,在文件中输入内容,此内容就被写入第一个分区内,同时mm下会生出lost+found目录,当档案系统发生错误时, 将一些遗失的片段放置到这个目录下。把sdb3挂载到mm,创建文件同时写入内容,查看发现只显示f3,之前挂载的sdb1中的f1不见,代表多个分区可以挂载一个挂载点,但只显示最新挂载的分区。特点:针对不同的数据建立不同的分区,同时为不同的分区创建不同的权限。输入swapon /dev/sdb2,并查看虚拟内存组成分区,两块虚拟内存组成,虚拟内存挂载成功。
WinForms 应用程序中使用 SignalR 连接到服务器
一个专注于技术研究创新的程序员
04-29 433
假设您已经在服务器端实现了名为 SignalRHub 的 SignalR Hub,并且该 Hub 包含了一个名为 SendMessage 的方法,用于接收来自客户端的消息,并将其广播给所有连接的客户端。客户端在收到消息时调用名为 ReceiveMessage 的方法来处理。
美国站群服务器的定义、功能以及在网站运营中的应用
zonghengcloud的博客
04-30 331
在当今互联网的蓬勃发展中,站群服务器已成为网站运营和SEO优化中不可或缺的重要工具之一。尤其是美国站群服务器,在全球范围内备受关注。本文将深入探讨美国站群服务器的定义、功能以及在网站运营中的应用。美国站群服务器的定义、功能以及在网站运营中的应用美国站群服务器的定义美国站群服务器是指位于美国境内的多台服务器组成的网络群组或集群。这些服务器可以部署在不同的地理位置或不同的数据中心,但它们共享同一个管理控制面板或管理系统。站群服务器的主要目的是通过集中管理和资源共享来提高网站的效率和性能。美国站群服务器的作用。
华纳云:服务器DDoS攻击有哪些类型?
YOKEhn的博客
04-30 499
DNS Amplification 攻击是利用 DNS(域名系统)服务器的开放递归解析功能,向大量的开放 DNS 服务器发送 DNS 查询请求,伪造源 IP 地址为目标服务器的 IP 地址,使得大量的响应数据被发送到目标服务器,从而使目标服务器消耗大量的带宽和资源。类似于 DNS Amplification 攻击,NTP Amplification 攻击利用网络时间协议(NTP)服务器的开放性,向 NTP 服务器发送大量的查询请求,并将响应数据发送到目标服务器,以消耗目标服务器的带宽和资源。
Grafana 添加一台管理服务器
最新发布
jekc2008的专栏
04-30 313
1、修改prometheus.yml。3、导入node文件。
香港BGP服务器和香港双线服务器的区别
JttiSEO的博客
04-30 262
香港BGP服务器采用BGP(边界网关协议)技术,通常连接到多个不同的网络服务提供商(ISP),并通过BGP协议动态选择最优的网络路径。虽然也提供了一定程度的冗余和备份,但相比于BGP服务器,双线服务器的网络连接方式更为简单,可能会有一定程度的单点故障风险。相比之下,双线服务器的成本可能会更为适中,但在一些对网络连接稳定性要求较高的应用场景下,可能需要额外考虑BGP服务器的投入。而香港双线服务器虽然具有一定程度的冗余和备份,但在某些情况下可能仍然会受到单个网络提供商的影响,造成网络性能下降或服务中断的风险。
PentestBox
10-21
PentestBox是一款预配置的便携式开源渗透测试环境,它打包了所有的安全工具,并且可以在Windows系统中原生地运行,有效地降低了对虚拟机或者双启动环境的需求。它集成了大量的Linux下的工具和Kali Linux上面的常用...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

路飞海米

一起加油哦

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值