常见的Nginx等保漏洞 及 处理方式

最新推荐文章于 2024-09-12 01:40:35 发布
最新推荐文章于 2024-09-12 01:40:35 发布
阅读量2.1k 收藏 4
点赞数
分类专栏: 问题解决办法 等保/漏洞修复 文章标签: nginx 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_70095877/article/details/131816263
版权

1. 常见扫描Web前端服务器 nginx 出现的一些漏洞 :

  •     点击劫持 : X-Frame-Options 未配置
  •     目标X-Content-Type-Options响应头缺失
  •     目标X-XSS_Protection响应头缺失
  •     目标Content-Security-Policy响应头缺失
  •     目标Strict-Transport-Security响应头缺失
  •     目标Referrer-Policy响应头缺失
  •     目标X-Permitted-Cross-Domain-Policies响应头缺失
  •     目标X-Download-Options响应头缺失

2. 处理方式 :

在nginx.conf 配置文件中,增加如下配置内容(我习惯在server里面添加):


server {
        listen        80;
        server_name  *.demo.com;
        root   "/www/demo";

        location / {
            index index.php index.html error/index.html;
            error_page 404 /error/404.html;   
            include D:/phpstudy_pro/WWW/8100ktc/nginx.htaccess;
            autoindex  off;
        }
        location ~ \.php(.*)$ {
            fastcgi_pass   127.0.0.1:9007;
            fastcgi_index  index.php;
            fastcgi_split_path_info  ^((?U).+\.php)(/?.+)$;
            fastcgi_param  SCRIPT_FILENAME  $document_root$fastcgi_script_name;
            fastcgi_param  PATH_INFO  $fastcgi_path_info;
            fastcgi_param  PATH_TRANSLATED  $document_root$fastcgi_path_info;
            include        fastcgi_params;
        }
        add_header X-Content-Type-Options nosniff;
        add_header 'Referrer-Policy' 'origin';
        add_header X-Download-Options "noopen" always;
        add_header Strict-Transport-Security "max-age=63072000; includeSubdomains; preload";
        add_header X-Permitted-Cross-Domain-Policies  "master-only";
        add_header X-Frame-Options SAMEORIGIN;
        add_header Content-Security-Policy "default-src 'self' data: *.xxx.com  'unsafe-inline' 'unsafe-eval' mediastream: ";
        add_header X-Content-Type-Options: nosniff;
        add_header X-XSS-Protection "1; mode=block";
        # proxy_hide_header  X-Powered-By;
	}
}

 3.拓展(更加详细的信息 , 属性配置) :

Nginx生产环境中的漏洞处理_是维C呀的博客-CSDN博客

Nginx 解决内容安全策略CSP(Content-Security-Policy)配置方式(漏洞修复) - 龙凌云端 - 博客园 (cnblogs.com)

nginx漏扫响应头缺失_检测到目标x-content-type-options响应头缺失_那小子很拽的博客-CSDN博客 

蜗牛_小吴
关注
专栏目录
Nginx漏洞复现
weixin_58163202的博客
02-08 1186
nignx漏洞复现
nginx常见漏洞解析_nginx漏洞
2401_83947255的博客
04-12 1270
0×1HTTP返回包:就是httpresponsHTTP返回包体:就是请求的具体文件,例如出来个网页资源,网页内嵌套的内容等等。自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。
Nginx漏洞扫描器GUI版
08-20
漏洞扫描器,很适合扫描,希望大家会喜欢 欢迎大家下载没有毒的
中间件安全:Nginx 解析漏洞测试.
网络安全领域___专研者.
07-30 946
Nginx 是一个高性能的 HTTP和反向 代理服务器,Nginx 解析漏洞是一个由于配置不当导致的安全问题,它不依赖于Nginx或PHP的特定版本,而是由于用户配置错误造成的。这个漏洞允许攻击者上传看似无害的文件,例如图片格式的文件,但实际上这些文件中包含了PHP代码。当这些文件被请求时,由于配置错误,Nginx会将这些文件作为PHP文件执行,从而可能允许攻击者执行任意代码。
AppScan安全专项问题解决
m0_61869253的博客
06-24 1359
网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…随着个人能力的不断提升,所从事工作的职业价值也会随着自身经验的丰富以及项目运作的成熟,升值空间一路看涨,这也是为什么受大家欢迎的主要原因。
安全等保漏洞修复之OpenSSH漏洞修复
weixin_43548686的博客
12-25 1700
在做等保的时候,必不可少的一个环节就是漏洞扫描,其中漏洞最多的是OpenSSH相关的 一般我们只需关心紧急和高危的漏洞 先看下ssh的版本, ssh -V 我们公司用的模版是centos6.6的,版本是OpenSSH_5.3p1 OpenSSH_5.3p1, OpenSSL 1.0.1e-fips 11 Feb 2013 测评的公司给我们扫出5个高危,9个中危 升级到 openssh-7.7p1...
CSRF安全漏洞修复
Innocence_0的博客
02-02 967
本处判断只判断接口,对页面进行放行(判断是否为页面的依据是接口的controller和请求页面的controller的继承类不同,接口的集成的类是AbstractAPIController,在每个请求中增加referer字段,如果没有这个字段则说明是伪造的请求。然后判断referer字段的域名和request的请求域名是否相同,如果不同则说明是伪造的请求。页面的集成类是 AbstractController,这两个类是自己写的。除了这些还需要拦截器配置。
nginx配置CSRF漏洞
u013008898的博客
03-25 576
【代码】nginx配置CSRF漏洞
网站扫描出的漏洞解决:检测到目标Content-Security-Policy、X-XSS-Protection/Content-Security-Policy响应缺失、加密算法等处理修复方法
本博客记录了从2014年以来在工作学习中遇到的技术问题、解决方法以及部分个人人生经历、经验等内容。
03-17 6629
Content Security Policy (CSP) 通过告诉浏览器一系列规则,严格规定页面中哪些资源允许有哪些来源, 不在指定范围内的统统拒绝,可以服务器添加 Content-Security-Policy 信息来指定规则解决。connect-src *会使安全进行升级,即一个http页面中所有调用的静态资源会自动升级使用https调用。但这样也会产生很多问题,如果调用的资源实际并不支持https的话,这时如果不是线上环境可以不理会,线上环境使用https就没有这样的问题了。
nginx常见漏洞解析_nginx漏洞,值得推荐
m0_58269070的博客
04-08 990
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!
Nginx解析漏洞测试
09-19
Nginx是一款高性能的web服务器,使用非常广泛,其不仅经常被用作反向代理,也可以非常好的支持PHP的运行。默认情况下可能导致服务器错误的将任何类型的文件以PHP的方式进行解析,这将导致严重的安全问题,使得恶意的攻击者可能攻陷支持php的nginx服务器。
nginx常见漏洞解析_nginx漏洞,字节跳动+腾讯+华为+小米+阿里面试题分享
2401_84181368的博客
04-10 1092
因为$uri是解码以后的请求路径,所以可能就会包含换行符,也就造成了一个CRLF注入漏洞。解释一下,1和2表示的是解码以后的请求路径,不带参数;3表示的是完整的URI(没有解码)。那么,如果运维配置了下列的代码:hosturi;#因为$uri是解码以后的请求路径,所以可能就会包含换行符,也就造成了一个CRLF注入漏洞。因为**$uri**和****是解码以后的请求路径,所以可能就会包含换行符,也就造成了一个CRLF注入漏洞
nginx常见漏洞解析_nginx漏洞(4),【设计思想解读开源框架
2401_84181368的博客
04-10 622
我们通过上述手段对请求进行了修改,利用此漏洞可以看到返回了一个set-cookie,也就是说错误的使用$uri配置会是用户的请求被黑客悄无声息的篡改掉。\r\n,可以直接修改返回报文的返回体。插入js代码引发xss。
0x07 Nginx越界读取缓存漏洞 CVE-2017-7529 复现
最新发布
weixin_43263566的博客
09-12 622
表示“部分内容”(Partial Content),通常是在服务器处理了部分范围请求时返回的。我用这个poc遇到目标进行302重定向没有获取到目标信息,然后我又改了一下。
摸鱼日记1 针对缺失Content-Security-Policy漏洞整改建议
weixin_38269721的博客
10-13 3078
起因 公司项目进行漏扫,提出几条整改意见(其他的都比较简单、已经解决),其中有一条是`针对缺失"Content-Security-Policy"漏洞整改建议`,漏扫方建议 Nginxnginx.conf中进行设置: server { … add_header Content-Security-Policy "default-src 'self';"; } 嗯,很简单,上手干。 nginx -s reload 服务起来了,访问一下 www.baidu.com 访问...
Nginx 解决内容安全策略CSP(Content-Security-Policy)配置方式
ideal-lingyun
09-24 4349
Nginx 解决内容安全策略CSP(Content-Security-Policy)配置方式
Nginx漏洞扫描及修复
qq_41512902的博客
07-01 2474
Nginx漏洞扫描及修复
HTTP Content-Security-Policy缺失,快速解决
热门推荐
kzhzhang的专栏
05-06 2万+
Content-Security-Policy内容安全策略 (CSP) 是一个额外的安全层,用于检测并削弱某些特定类型的攻击,包括跨站脚本 (XSS) 和数据注入攻击等。无论是数据盗取、网站内容污染还是散发恶意软件,这些攻击都是主要的手段。CSP 的实质就是白名单制度,开发者明确告诉客户端,哪些外部资源可以加载和执行,等同于提供白名单。它的实现和执行全部由浏览器完成,开发者只需提供配置。CSP 大大增强了网页的安全性。攻击者即使发现了漏洞,也没法注入脚本,除非还控制了一台列入了白名单的可信主机。 注意:C
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值