Nginx屏蔽头部攻击

已于 2023-12-20 17:37:56 修改
阅读量8.7k 收藏 2
点赞数 1
分类专栏: nginx nginx头部攻击 host header 文章标签: 安全 centos 网络
于 2022-04-01 15:39:34 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44637753/article/details/123866377
版权

Nginx屏蔽头部攻击 多IP

nginx正则表达式:
区分大小写匹配: ~
不区分大小写匹配: ~*
区分大小写不匹配: !~
不区分大小写匹配: !~*

nginx 地址重写:

rewrite语句格式
rewrite regex replacement flag;
flag: break、last、redirect、permanent
–last:停止执行其他重写规则,根据URI继续搜索其他location,地址栏不改变
–break:停止执行其他的重写规则,完成本次请求。
–redirect:302临时重定向,地址栏改变,爬虫不更新URI
–permanent:301永久重定向,地址栏改变,爬虫更新URI

location / {
			root html;
			index index.html index.htm;
			rewrite "/a.html$" /b.html;
	}

nginx域名跳转

www.a.com   --->  www.c.a.cn

server {
		listen 80;
		server_name www.a.com;
		location / {
					root html;
					index index.html index.htm;
					rewrite ^/(.*)  www.c.a.cn/$1;
		}
}

简单配置nginx.conf

server {
        listen       80;
        server_name  name1 name2;   ##name可以为域名或者ip
        if ($http_Host !~* ^name1|name2$)    ##name1和name2之间 连接符“|”无任何空格,有空格报错,如果是单域名(ip)省略“|name2”格式为“$http_Host !~* ^name1$”
        {
          return 403;
        }
        location ........
        }

nginx -s reload   ##重新加载配置文件

禁止非GET|HEAD|POST方式的抓取

详细

if ($request_method !~ ^(GET|HEAD|POST)$) {undefined

return 403;

}

禁止敏感信息泄露及点击劫持等

# 设置一个无效的值以避免触发真实的主机名
 server_name _;
 server_name_in_redirect off;
#不显示版本号 	 
 server_tokens off;
##添加配置,保证不缺失"Content-Security-Policy"头,当你有很多映射,代理,外网链接时慎用
add_header Content-Security-Policy "default-src 'self' ip:port 'unsafe-inline' 'unsafe-eval' blob: data: ;";   
###添加配置,保证不缺失"X-Content-Type-Options"头
 add_header X-Content-Type-Options nosniff;      
###添加配置,保证不缺失"X-XSS-Protection"头
 add_header X-XSS-Protection "1; mode=block";      
 ####添加配置,保证不点击劫持:X-Frame-Options头
add_header Strict-Transport-Security "max-age=***; includeSubdomains;";   
add_header  X-Frame-Options:DENY;  #"SAMEORIGIN"
add_header 'Referrer-Policy' 'origin'; 
add_header X-Download-Options noopen;
add_header X-Permitted-Cross-Domain-Policies none;
add_header Strict-Transport-Security "max-age=63072000; includeSubdomains; preload";

nginx限制ip并发连接和请求

nginx限制ip并发连接和请求有两个模块,不需要重新编译安装,nginx默认已经集成。
limit_req_zone  : 限制请求数
limit_conn_zone   :限制并发连接数

limit_req_zone $binary_remote_addr zone=one:10m rate=10r/s;  
#zone:=one:10m :设置一个名字为one,大小为10M的缓存空间
#rate=10r/s: 限制访问速率,此处设置为每秒接受10个请求(nging里是按ms及时的,此处为s)

nginx压力测试

其他常见的压力测试软件:http_load、webbench、siege

ab -c 1 -n 10 http://192.168.174.11/    ##-c并发数 -n 请求次数、
@王先生1
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
配置Nginx以解决http host攻击漏洞
xiashenbao的博客
11-29 2万+
server { listen 80; server_name 127.0.0.1 192.168.1.32; if ($http_Host !~* ^192.168.1.32|127.0.0.1$) { return 403; } rewrite ^(.*) https://$server_name$1 permanent; } 参考链接:h
nginx屏蔽指定接口(URL)的操作方式
09-29
主要介绍了nginx屏蔽指定接口(URL)的操作方式,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
nginx host攻击漏洞
zzf9347的博客
09-18 1473
有些网站的代码配置为,通过请求的host拼接路径来形成访问的url,这时候攻击者会发送一个异常的host,如果服务端没有进行host识别判断的话,同意了这个请求,攻击者就会通过这个异常的host拼接路径来制造陷阱,非法劫持网站中的一些信息,以及上传病毒代码或文件,甚至是取得整个网站或者服务器的控制权限,这就是host攻击。客户端在发起请求时,会发送一个host给服务器,服务器会根据客户端发送的host识别要请求的页面或者转发的后端服务器,以此返回请求的内容。
Host攻击
最新发布
wfdfg的博客
05-27 2590
(也被称为HTTP Host注入攻击)是一种Web安全漏洞,攻击者通过篡改HTTP请求中的Host头部字段来执行恶意操作。在HTTP协议中,Host头部字段用于指定请求所针对的域名,以便服务器能够正确地将请求路由到相应的Web应用程序。
nginx屏蔽HEAD、PUT等请求
weixin_34056162的博客
11-02 6421
2019独角兽企业重金招聘Python工程师标准>>> ...
配置Nginx解决http host攻击漏洞
cai454692590的博客
02-29 1289
一定要注意 if后面要有空格。
nginx修复host攻击
qq_38000851的博客
07-29 4138
程序员最难受的事情,就是你开开心心的开发着代码,突然一个维护的事情让你做,别问为什么开发要弄维护的,问就是当初上错了轿。这次的web漏洞是host攻击,虽然对对方说,我们代码里没有用到host的地方,无奈对方不理睬,只能硬着皮整改了。 参考文章: https://www.jianshu.com/p/690acbf9f321 https://blog.csdn.net/ImSanJin/article/details/100080904?utm_medium=distribute.pc_relevant
nginx配置防 http host攻击漏洞
weixin_44597836的博客
09-27 3289
其实该漏洞,就是将域名或者ip+端口修改为篡改后的ip+端口,获取用户信息 问题现象:比如 http://www.test.com 或者 http://192.168.0.100:8080 在浏览中,比如可以修改篡改ip+端口为 199.99.0.8080,点击页面进入有问题界面。 处理:nginx配置仅允许192.168.0.100和8080端口能真正进入服务器 解决:nginx配置,假如对外访问的服务vip只有一个配置如下: if ( httphost! ∗192.168.0.100:8080
修改Nginx屏蔽网址的规则的方法
09-30
本文将详细介绍如何使用Nginx配置来屏蔽或重定向这些不受欢迎的URL。Nginx是一款高性能的HTTP和反向代理服务器,它的配置灵活性使得我们可以根据需要定制访问规则。 当你的服务器遭遇恶意域名指向,即不相关的域名...
分析nginx日志并屏蔽采集者ip(nginx屏蔽ip配置实例)
09-30
Nginx作为流行的Web服务器软件,提供了便捷的方式来屏蔽特定IP地址或IP段,从而保护网站内容。以下是对Nginx日志分析及IP屏蔽配置的详细说明。 首先,分析Nginx日志是识别潜在采集者IP的关键步骤。`nginx.access....
Nginx防止流量攻击的配置详解
01-10
大家都知道服务器资源有限的,但是客户端来的请求是无限的(不排除恶意攻击), 为了保证大部分的请求能够正常响应,不得不放弃一些客户端来的请求,所以我们会采用Nginx的限流操作, 这种操作可以很大程度上缓解...
配置Nginx解决http host攻击漏洞【详细步骤】
热门推荐
虽千万人,吾往矣
12-12 1万+
安全系统渗透测试出host攻击漏洞,下面是解决步骤。
nginx漏洞修复之检测到目标URL存在http host攻击漏洞
tootsy_you的博客
07-11 3194
nginx漏洞修复记录
Nginx防止Host攻击
weixing100200的专栏
07-06 902
host被修改匹配不到server时会跳转到改默认server,改默认server直接返回403错误。
nginx 禁止GET|HEAD|POST正常访问
qq_35854906的博客
01-18 3862
if ($request_method !~ ^(GET|HEAD|POST)$) { rewrite ^/(.*)$ http://www.koogay.net last; }
Nginx: 常见漏洞修复(Host攻击|不安全的Http方法|缺少X-XSS-Protection头部
zJay-L's Blog
03-01 6292
Nginx: 常见漏洞修复(Host攻击|不安全的Http方法|缺少X-XSS-Protection头部Host攻击 在server模块配置: if ($host !~* xxx.xxx.xxx|xxx.ddd.ddd.ddd) { return 403; } 或者 if ($http_Host !~* xxx.xxx.xxx:port|xxx.ddd.ddd.ddd:port) { return 403; } xxx.xxx.xxx:代表域名
Nginx 配置解决host攻击漏洞
如果说你每一步都细心的话,其实你的效率是很快的
10-30 1万+
URL后面不加斜杠导致Host攻击-nginx
YHJ
06-11 1312
参考:https://www.cnblogs.com/fws407296762/p/9336163.htmlhttps://www.freebuf.com/articles/web/178315.html https://blog.csdn.net/baishuhui123/article/details/89216646 Nginx URL后面不加斜杠301重定向和302重定向。导致的host攻击。 主要原因: 当请求URL后面没有 / ,Nginx 目录中没有对应的文件,就会自动进行 301
nginx 屏蔽版本号
03-21
Nginx中,可以通过配置文件的方式来屏蔽版本号的显示。具体的步骤如下: 1. 打开Nginx的配置文件,一般位于`/etc/nginx/nginx.conf`或者`/usr/local/nginx/conf/nginx.conf`。 2. 在`http`块中添加以下配置: ``` server_tokens off; ``` 这个配置指令会关闭Nginx服务器的版本号显示。 3. 保存配置文件并重新加载Nginx服务。 这样配置之后,当访问Nginx服务器时,响应中的`Server`字段将不再显示具体的版本号信息。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

@王先生1

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值