Nginx location 语法匹配详解,渗透漏洞WEB-INF文件泄露修复

已于 2023-11-29 13:52:32 修改
阅读量883 收藏 2
点赞数
分类专栏: Linux 文章标签: nginx Nginx location Nginx 配置语法 WEB-INF漏洞
于 2021-12-14 17:31:00 首次发布
原文链接:https://mp.csdn.net/mp_blog/creation/editor/121920975
版权

1、语法规则,类似switch case 

location [=|~|~*|^~|!~|!~*] /uri/ { … }

多个 location 规则匹配优先级如下: 

模式

含义

location = /uri/

= 表示精确匹配,只匹配路径为 /uri/ 的请求,不会匹配任何子路径,比如不会匹配 /uri/a 的请求。

location ^~ /uri

^~ 前缀匹配区分大小写

location ~ pattern

正则匹配,区分大小写

location ~* pattern

正则匹配,不区分大小写

location !~

正则不匹配,区分大小写

location !~*

正则不匹配,不区分大小写

location /uri/

不带任何修饰符,也表示前缀匹配,但是优先级在正则匹配之后

location /

通用匹配,任何未匹配到其它 location 的请求都会匹配到,相当于 switch 中的 default

当 URL 为 /images/png/a.png 时,它不会匹配到 location = /images/ 这个规则。因为该 location 只匹配路径为 /images/ 的请求,不会匹配任何子路径。
相同优先级的location,后面的location将会覆盖前面的location。
最佳匹配规则:按照能匹配到的最多的规则进行匹配,比如 当 URL 为 /images/png/a.png 时,/images/png 优先于 /images/ 优先于/ ,这也是为什么 /相当于 switch 中的 default。

匹配优先级

  • 首先精确匹配 =
  • 其次前缀匹配 ^~
  • 其次是按文件中顺序的正则匹配
  • 然后匹配不带任何修饰的前缀匹配
  • 最后是交给 / 通用匹配
  • 当有匹配成功时候,停止匹配,按当前匹配规则处理请求

匹配的时候依照最佳匹配规则,按照能匹配到的最多的规则进行匹配
 location ^~ /test/react/  location ^~ /test/,请求 http://localhost/test/react/react.dev.js,会匹配 location /test/react/

2、语法示例

有如下匹配规则:

location = / {
    echo "规则A";
}
location = /login {
    echo "规则B";
}
location ^~ /static/ {
    echo "规则C";
}
location ^~ /static/files {
    echo "规则X";
}
location ~ \.(gif|jpg|png|js|css)$ {
    echo "规则D";
}
location ~* \.png$ {
    echo "规则E";
}
location /img {
    echo "规则Y";
}
location / {
    echo "规则F";
}

则产生的效果如下:

  • 访问根目录/,比如http://localhost/将匹配规则 A
  • 访问http://localhost/login将匹配规则 B,http://localhost/register则匹配规则 F
  • 访问http://localhost/static/a.html将匹配规则 C
  • 访问http://localhost/static/files/a.exe将匹配规则 X,虽然规则 C 也能匹配到,但因为最大匹配原则,最终选中了规则 X。
  • 访问http://localhost/a.gifhttp://localhost/b.jpg将匹配规则 D 和规则 E,但是规则 D 顺序优先,规则 E 不起作用,而http://localhost/static/c.png则优先匹配到规则 C。
  • 访问http://localhost/a.PNG则匹配规则 E,而不会匹配规则 D,因为规则 E 不区分大小写。
  • 访问http://localhost/img/a.gif会匹配上规则 D,虽然规则 Y 也可以匹配上,但是因为正则匹配优先,而忽略了规则 Y。
  • 访问http://localhost/img/a.tiff会匹配上规则 Y。
  • 访问http://localhost/category/id/111则最终会匹配到规则 F,因为以上规则都不匹配,这个时候应该是 Nginx 转发请求给后端应用服务器,比如 FastCGI(php),tomcat(jsp),Nginx 作为反向代理服务器存在。

3、应用示例,渗透漏洞WEB-INF文件泄露修复

测试发现javax.faces.resource.../WEB-INF/目录工程文件泄露。

Web.xml:

http://192.168.1.2:8081/项目名/javax.faces.resource.../WEB-INF/web.xml.jsf

Application.xml:

http://192.168.1.2:8081/项目名/javax.faces.resource.../WEB-INF/classes/applicationContext.xml.jsf

 

 需要拦截WEB-INF文件,配置如下

                location ~ /(WEB-INF|META-INF)/* {  
                    #deny all;
                    return 404;  
                }

 表示 url地址包含WEB-INF或者META-INF 走第一个location

否则其他所有地址走第二个location

 转载:

Nginx location 匹配详解、location [=|~|~*|^~|!~|!~*] 详解_止水聊技术-CSDN博客

Nginx之 Location 的生成 - 季末的天堂 - 博客园

小百菜
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
nginx location匹配实例详解
01-20
nginx location匹配实例详解 例1、nginx配置: 例2、nginx  配置: 例3、nginx配置: 感谢阅读,希望能帮助到大家,谢谢大家对本站的支持! 您可能感兴趣的文章:Nginx配置指令location匹配符优先级和安全问题详解Nginx location 匹配规则Nginx服务器的location指令匹配规则详解利用nginx如何匹配多个条件Nginx location匹配规则的方法示例简介Nginx中的location匹配规则nginx 匹配规则小总结(推荐)Nginx Location指令URI匹
Nginx Location指令URI匹配规则详解小结
01-11
1、介绍 location指令是http模块当中最核心的一项配置,根据预先定义的URL匹配规则来接收用户发送的请求,根据匹配结果,将请求转发到后台服务器、非法的请求直接拒绝并返回403、404、500错误处理等。 2、location指令语法 location [=|~|~*|^~|@] /uri/ { … } 或 location @name { … } 3、URI匹配模式 location指令分为两种匹配模式: 1> 普通字符串匹配:以=开头或开头无引导字符(~)的规则 2> 正则匹配:以~或~*开头表示正则匹配,~*表示正则不区分大小写 4、location URI匹配规则
中间件-Nginx漏洞整改(限制IP访问&隐藏nginx版本信息)
最新发布
✨ 欢迎来到【Seal ^_^ 的CSDN博客】!这里是我记录技术心得、分享经验的地方。✨
02-26 1万+
中间件-Nginx漏洞整改(限制IP访问)
JSF web.xml配置
JAVA架构师成长之路
11-10 3096
http://java.sun.com/xml/ns/javaee"xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"xsi:schemaLocation="http://java.sun.com/xml/ns/javaee http://java.sun.com/xml/ns/javaee/web-app_2_5.xsd">
Nginx中间件漏洞复现
mingyqf的博客
02-13 4488
nginx篇 1.介绍 Nginx是一款轻量级的Web 服务器/反向代理服务器及电子邮件(IMAP/POP3)代理服务器,在BSD-like 协议下发行。其特点是占有内存少,并发能力强,事实上nginx的并发能力确实在同类型的网页服务器中 表现较好。 3.1.文件解析漏洞 1.漏洞描述 该漏洞是由于Nginx中php配置不当而造成的,与Nginx版本无关,但在高版本的php中,由于 security.limit_extensions的引入,使得该漏洞难以被成功利用。 在已经上传了恶意1.jpg文件后,访问/
Nginx漏洞—解析漏洞配置不当和(CVE-2013-4547)
今天也要加油鸭
03-06 6499
CVE-2013-4547是Nginx目录跨越及代码执行漏洞,也被成为文件名逻辑漏洞。 涉及版本:Nginx 0.8.41~1.4.3 / 1.5.0<=1.5.7 漏洞原理: 这个漏洞虽然也被称为代码执行漏洞,但跟代码执行没有太大关系,主要是由于非法的字符空格和截止符(\0)导致Nginx解析URI时的有限状态机混乱,攻击者通过一个非编码的空格绕过后缀名限制,导致出现权限绕过,代码执行等影...
漏洞扫描工程访问地址+javax.faces.resource.../WEB-INF/web.xml.jsf
qq_31030397的博客
08-28 3736
直接访问下面地址 http://ip访问地址/twbpm/javax.faces.resource…/WEB-INF/web.xml.jsf 可访问到web.xml的具体配置信息:如图 解决方案:在web.xml文件配置 javax.faces.RESOURCE_EXCLUDES .xhtml .class .jsp .jspx .properties .xml ...
常见Web源码泄露总结
weixin_46420165的博客
12-08 953
svn1.6及以前版本会在项目的每个文件夹下都生成一个.svn文件夹,里面包含了所有文件的备份,文件名为 .svn/text-base/文件名.svn-base svn1.7及以后版本则只在项目根目录生成一个.svn文件夹,里面的pristine文件夹里包含了整个项目的所有文件备份。在使用这种架构的时候,由于对静态资源的目录或文件的映射配置不当,可能会引发一些的安全问题,导致web.xml文件能够被读取。如果想在页面中直接访问其中的文件,必须通过web.xml 文件对要访问的文件进行相应映射才能访问。
漏洞复现之Nginx配置漏洞
Blood_Pupil的博客
03-16 2153
上述各配置漏洞对应的造成漏洞配置信息如下: CLRF #nginx.conf location / { return 302 https://$host$uri; } 目录遍历 #nginx.conf autoindex on; 目录穿越 #nginx.conf location /files { alias /home/; } add_h...
Nginx配置location详解
10-15 3327
location正则写法 location使用语法location [ = | ~ | ~* | ^~ ] uri { } # ~区分大小写的正则匹配; # ~*不区分大小写的正则匹配; # ^~常规字符串匹配; 一个示例: location = / { # 精确匹配 / ,主机名后面不能带任何字符串 [ configuration A ] ...
Nginx location 语法匹配详解web渗透漏洞WEB-INF文件泄露
qq_50854662的博客
06-15 280
1、语法规则,类似switch case~|!模式含义表示精确匹配进行前缀匹配,~ 表示区分大小写区分大小写的匹配~*不区分大小写的匹配不带任何修饰符,也表示前缀匹配,但是在正则匹配之后location /通用匹配,任何未匹配到其它 location 的请求都会匹配到,相当于 switch 中的 defaultlocation!区分大小写不匹配location!~*不区分大小写不匹配匹配优先级首先精确匹配 =其次前缀匹配 ^~其次是按文件中顺序的正则匹配然后匹配不带任何修饰的前缀匹配
详解Nginx location 匹配规则
01-10
语法规则 location [=|~|~*|^~] /uri/ { … } 模式 含义 location = /uri = 表示精确匹配,只有完全匹配上才能生效 location ^~ /uri ^~ 开头对URL路径进行前缀匹配,并且在正则之前。 location ~ ...
Java Server Faces (JSF) 页面转换与验证(一)
weixin_34050427的博客
02-03 81
2019独角兽企业重金招聘Python工程师标准>>> ...
Java Server Faces (JSF)页面转换与验证(二)
weixin_34309543的博客
02-03 101
2019独角兽企业重金招聘Python工程师标准>>> ...
Java代码漏洞检测-常见漏洞修复建议
晨港飞燕的专栏
11-19 3201
在工作中,我们的交付团队在交付项目时,可能会遇到甲方会使用一些第三方工具(奇安信等)对项目代码进行扫描,特别是一些对安全性要求比较高的企业,比如涉及到一些证券公司、银行、金融等。他们会在项目上线前进行代码安全检测,通过了对方才会发布上线。原文链接:https://blog.csdn.net/qq_39560975/article/details/131956264。
JSF 转换与验证
键者天行
10-11 7198
在本文中,我们将介绍 JSF 转换和验证框架的概念,它比您所想的要容易使用得多,也灵活得多。首先我们将介绍应用于 JSF 生命周期的转换和验证过程,然后展示一个简单的 JSF 应用程序中的默认转换和验证过程。接着将展示如何创建和插入自定义的实现,以应对要求更高的场景。正如 Rick 在以前的文章中所说的,我们会理论与实践并重,先介绍概念,再用一个实际例子说明这些概念的应用。示例应用程序将涵盖大多数
Nginxnginx目录遍历漏洞
kevin的博客
07-14 3432
除了X-Forwarded-For伪造客户端IP漏洞,发现还要修改关于目录遍历的漏洞,这里简单记录一下。Nginx 目录遍历(Nginx Directory Traversal)是一种安全漏洞,通常会影响 Nginx 服务器上的 Web 应用程序。该漏洞允许攻击者通过利用应用程序代码中的错误配置或代码漏洞,来访问系统中未经授权的文件和目录。
WEB-INF/web.xml泄露漏洞及其利用
Mrs_H的博客
08-10 9464
前言 之所以写这篇文章,是因为最近在做题的时候,做到了一个有关java的题目。因为对Java Web方面的开发经验很少,所以在做这道题的时候,查了一些关于Java Web相关的知识。感觉以后说不定还会用到,就以这篇文章来总结一下。 关于WEB-INF/web.xml 在了解WEB-INF/web.xml泄露之前,我们先要知道,web.xml是一个什么样的文件,以及它的泄露会出现哪些问题。 咱们先来看看WEB-INF这个文件WEB-INF主要包含以下内容: /WEB-INF/web.xmlWeb应用程
JSF学习笔记-web.xmlfaces-config.xml配置
aliantou4416的博客
06-29 408
JSF提供的核心控制器是javax.faces.webapp.FacesServlet。 web.xml中的welcome-file-list标签作用:当用户在浏览器中输入的URL不包含某个servlet名或JSP页面时,welcome-file-list元素可指定显示的默认文件。 welcome-file子元素用于指定默认文件的名称。welcome-file-list元素可以包含一个...
nginx安全漏洞(CVE-2021-23017)如何修复
04-19
对于这个问题,我可以为您提供以下的修复措施: 1.升级Nginx版本:在新版本中,开发团队已经修复了该漏洞。您可以前往官方网站下载最新的Nginx版本进行安装。 2.设置防火墙规则:通过设置防火墙规则,可以限制来自外部网络的请求。您可以设置Nginx只允许特定IP地址或者IP地址段的请求。 3.禁用不必要的模块:Nginx默认启用了很多模块,但是不是所有的模块都是必要的。您可以禁用不必要的模块,以减少安全风险。 需要注意的是,修复安全漏洞需要谨慎,建议您在实施修复措施之前,先备份好当前的配置文件和数据,以防出现意外情况。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值