Nginx
Nginx是一款轻量级的Web 服务器/反向代理服务器及电子邮件(IMAP/POP3)代理服务器,在BSD-like 协议下发行。其特点是占有内存少,并发能力强,事实上nginx的并发能力确实在同类型的网页服务器中表现较好。
配置安全
CRLF注入漏洞
Nginx会将$uri进行解码,导致传入%0a%0d即可引入换行符,造成CRLF注入漏洞。(这个可以参考我之前写的)
特定漏洞
解析漏洞
其实这个也属于用户配置不当造成的漏洞,所以跟版本无关。
判定是否存在该漏洞,直接访问一个存在的图片地址,在图片地址后加上不存在的php文件(如1.php、.php),返回乱码,则漏洞存在。
这里返回有phpinfo的界面,是因为这张图片本身存在phpinfo的代码。
文件名逻辑漏洞(CVE-2013-4547)
影响版本:Nginx 0.8.41 ~ 1.4.3 / 1.5.0 ~ 1.5.7