Nginx生产环境中的漏洞处理

最新推荐文章于 2024-06-13 10:59:31 发布
最新推荐文章于 2024-06-13 10:59:31 发布
阅读量4.6k 收藏 5
点赞数
分类专栏: Linux 中阶——企业应用实战 文章标签: nginx http 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_55985097/article/details/120303215
版权

很多企业在生产服务中会使用nginx作为web前端服务器,那么在使用过程中会出现一些漏洞问题,以下为常见的部分漏洞和解释解决方案

点击劫持:X-Frame-Options未配置

点击劫持(ClickJacking)是一种视觉上的欺骗手段。攻击者使用一个透明的、不可见的iframe,覆盖在一个网页上,然后诱使用户在该网页上进行操作,此时用户将在不知情的情况下点击透明的iframe页面。通过调整iframe页面的位置,可以诱使用户恰好点击在iframe页面的一些功能性按钮上。
HTTP 响应头信息中的X-Frame-Options,可以指示浏览器是否应该加载一个 iframe 中的页面。如果服务器响应头信息中没有X-Frame-Options,则该网站存在ClickJacking攻击风险。网站可以通过设置 X-Frame-Options 阻止站点内的页面被其他页面嵌入从而防止点击劫持。

解决:
配置Nginx服务器配置,添加X-Frame-Options响应头

配置 nginx 发送 X-Frame-Options 响应头,把下面这行添加到 ‘http’, ‘server’ 或者 ‘location’ 的配置中:

add_header X-Frame-Options SAMEORIGIN;

目标X-Content-Type-Options响应头缺失

X-Content-Type-Options HTTP 消息头相当于一个提示标志,被服务器用来提示客户端一定要遵循在 Content-Type 首部中对 MIME 类型 的设定,而不能对其进行修改。这就禁用了客户端的 MIME 类型嗅探行为,换句话说,也就是意味着网站管理员确定自己的设置没有问题。

X-Content-Type-Options响应头的缺失使得目标URL更易遭受跨站脚本攻击。

解决:
将服务器配置为在所有传出请求上发送值为“nosniff”的“X-Content-Type-Options”头。

add_header X-Content-Type-Options nosniff;

目标X-XSS-Protection响应头缺失

HTTP X-XSS-Protection 响应头是 Internet Explorer,Chrome 和 Safari 的一个特性,当检测到跨站脚本攻击 (XSS)时,浏览器将停止加载页面。

X-XSS-Protection响应头的缺失使得目标URL更易遭受跨站脚本攻击。

解决:
将您的服务器配置为在所有传出请求上发送值为“1”

add_header X-XSS-Protection "1; mode=block";

目标Content-Security-Policy响应头缺失

HTTP 响应头Content-Security-Policy允许站点管理者控制用户代理能够为指定的页面加载哪些资源。除了少数例外情况,设置的政策主要涉及指定服务器的源和脚本结束点。

Content-Security-Policy响应头的缺失使得目标URL更易遭受跨站脚本攻击。

解决:
将您的服务器配置为发送“Content-Security-Policy”头。

add_header Content-Security-Policy "upgrade-insecure-requests;content *;img-src '*'";

检测到目标Strict-Transport-Security响应头缺失

Web 服务器对于 HTTP 请求的响应头中缺少 Strict-Transport-Security,这将导致浏览器提供的安全特性失效。 当 Web 服务器的 HTTP 头中包含 Strict-Transport-Security 头时,浏览器将持续使用 HTTPS 来访问 Web 站点,可以用来对抗协议降级攻击和 Cookie 劫持攻击。 其可选的值有: max-age=SECONDS,表示本次命令在未来的生效时间 includeSubDomains,可以用来指定是否对子域名生效 漏洞危害: Web 服务器对于 HTTP 请求的响应头中缺少 Strict-Transport-Security,这将导致浏览器提供的安全特性失效,更容易遭受 Web 前端黑客攻击的影响。

解决:
修改服务端程序,给 HTTP 响应头加上 Strict-Transport-Security

add_header Strict-Transport-Security "max-age=63072000; includeSubdomains; preload";

目标Referrer-Policy响应头缺失

Web 服务器对于 HTTP 请求的响应头中缺少 Referrer-Policy,这将导致浏览器提供的安全特性失效。 当用户在浏览器上点击一个链接时,会产生一个 HTTP 请求,用于获取新的页面内容,而在该请求的报头中,会包含一个 Referrer,用以指定该请求是从哪个页面跳转页来的,常被用于分析用户来源等信息。但是也成为了一个不安全的因素,所以就有了 Referrer-Policy,用于过滤 Referrer 报头内容,其可选的项有: no-referrer no-referrer-when-downgrade origin origin-when-cross-origin same-origin strict-origin strict-origin-when-cross-origin unsafe-url 漏洞危害: Web 服务器对于 HTTP 请求的响应头中缺少 Referrer-Policy,这将导致浏览器提供的安全特性失效,更容易遭受 Web 前端黑客攻击的影响。

解决:
修改服务端程序,给 HTTP 响应头加上 Referrer-Policy

add_header 'Referrer-Policy' 'origin';

目标X-Permitted-Cross-Domain-Policies响应头缺失

Web 服务器对于 HTTP 请求的响应头中缺少 X-Permitted-Cross-Domain-Policies,这将导致浏览器提供的安全特性失效。 当一些在线的 Web Flash 需要加载其他域的内容时,很多 Web 会通过设置一个 crossdomain.xml 文件的方式来控制其跨域方式。很有可能有些开发者并没有修改 crossdomain.xml 文件的权限,但是又有和跨域的 Flash 共享数据的需求,这时候可以通过设置 X-Permitted-Cross-Domain-Policies 头的方式来替代 crossdomain.xml 文件,其可选的值有: none master-only by-content-type by-ftp-filename all 漏洞危害: Web 服务器对于 HTTP 请求的响应头中缺少 X-Permitted-Cross-Domain-Policies,这将导致浏览器提供的安全特性失效,更容易遭受 Web 前端黑客攻击的影响。

解决:
修改服务端程序,给 HTTP 响应头加上 X-Permitted-Cross-Domain-Policies

header("X-Permitted-Cross-Domain-Policies:'master-only';");

目标X-Download-Options响应头缺失

Web 服务器对于 HTTP 请求的响应头中缺少 X-Download-Options,这将导致浏览器提供的安全特性失效。 漏洞危害: Web 服务器对于 HTTP 请求的响应头中缺少 X-Download-Options,这将导致浏览器提供的安全特性失效,更容易遭受 Web 前端黑客攻击的影响。

解决:
修改服务端程序,给 HTTP 响应头加上 X-Download-Options

add_header X-Download-Options "noopen" always;

END

是维C呀
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Nginx的解析漏洞整理
白泽Sec安全实验室
10-28 4398
在实战经常遇到nginx,遇到nginx第一反应就是解析漏洞 Nginxphp配置错误导致的解析漏洞 漏洞详情 这一漏洞是由于Nginxphp配置不当而造成的,与Nginx版本无关 Nginx拿到文件路径(更专业的说法是URI)/test.jpg/test.php后,一看后缀是.php,便认为该文件是php文件,转交给php去处理。php一看/test.jpg/test.php不存在,便删去最后的/test.php,又看/test.jpg存在,便把/test.jpg当成要执行的文件了 这其涉及到ph
Nginx跨域漏洞修复处理过程(验证通过)
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
03-14 1611
## 背景 安全漏扫发现某业务网站存在Origin源不严格,从而造成跨域问题,如下测试结果 ## 跨域 跨域是指使用一个域(网站)下的文档或脚本可去请求获取到另一个域(网站)下的资源的可能风险。 ## 处理 ...
nginx常见漏洞解析
qtttgeq的博客
04-06 1万+
0×1HTTP返回包头:就是httpresponsHTTP返回包体:就是请求的具体文件,例如出来个网页资源,网页内嵌套的内容等等。content-range是什么?range是什么?存在于HTTP请求头,表示请求目标资源的部分内容,例如请求一个图片的前半部分,单位是byte,原则上从0开始,但今天介绍的是可以设置为负数。range的典型应用场景例如:断点续传、分批请求资源。content-range的表达方式:Range:bytes=0-1024 表示访问第0到第1024字节;
nginx设置X-Frame-Options的两种方法
热门推荐
thlzjfefe的博客
03-22 1万+
本文介绍nginx分别通过http和server设置X-Frame-Options,防止网站被别人用iframe嵌入使用。需要说明的是,只需用其一个方法即可,在http配置代码块或server配置代码块里设置。 在http配置里设置X-Frame-Options 在server配置里设置X-Frame-Options 在http配置里设置X-Frame-Options 打开nginx....
信息服务上线渗透检测网络安全检查报告和解决方案4(网站风险等级评定标准、漏洞危害分级标准、漏洞安全建议)
最新发布
jennycisp的博客
06-13 1133
漏洞扫描是指对网络应用、服务器等进行全面的安全检测,以发现其存在的安全漏洞,从而及时修复,确保网络系统的安全性。一种常见的漏洞扫描方法是黑盒测试,即对系统进行模拟攻击来发现潜在的漏洞风险。以下是一些常用的扫描工具:Nessus:开源的漏洞扫描工具,可用于扫描多种操作系统和应用程序漏洞,并提供了详细的用户和管理员报告。Acunetix:自动化的漏洞扫描工具,支持扫描 Web 应用、网络、API 等,能够发现多种漏洞类型。
等保检测风险处理方案
丁丁丁梦涛的博客
03-05 844
等保检测风险处理方案
间件安全—Nginx常见漏洞
剁椒鱼头没剁椒的博客
02-21 4553
在上篇间件安全—Apache常见漏洞,并未对间件漏洞进行解释,这里补充一下。
Linux利用源码包升级Nginx到1.23.1用以解决nginx安全漏洞问题
夜灬狼丶
07-21 4960
升级nginx到1.23.1用以解决以下下安全漏洞问题 NGINX 环境问题漏洞(CVE-2019-20372) NGINX 环境问题漏洞(CVE-2020-12440) NGINX 拒绝服务漏洞(CVE-2016-4450) NGINX RANGE FILTER模块数字错误漏洞(CVE-2017-7529)
Nginx漏洞扫描器GUI版
08-20
- 在非生产环境进行测试扫描,避免影响正常服务。 - 及时跟进扫描结果,快速修复发现的问题。 - 定期更新扫描器,以应对新的威胁和漏洞。 总之,“Nginx漏洞扫描器GUI版”是保障Nginx服务器安全的重要工具,通过...
nginx-1.18.0
08-06
对于生产环境Nginx,监控其运行状态和日志文件至关重要。可以通过 `nginx -t` 检查配置文件的正确性,`nginx -s reload` 重新加载配置,以及使用 `error.log` 和 `access.log` 文件进行问题排查。 总的来说,...
win64环境nginx-1.9.4安装包
09-15
生产环境,你需要确保Nginx配置文件的安全性,限制对敏感文件的访问,并考虑使用HTTPS提供加密连接。此外,保持Nginx及时更新,防止已知漏洞被利用。 9. **反向代理与负载均衡**: Nginx的一个重要特性是反向...
Centos7的nginx-1.24.0免编译包,直接解压修改配置文件,启动即可
05-18
但请注意,这种做法并不安全,生产环境应尽量细化权限设置。 **安全与优化** 1. 虽然 `chmod 777 *` 可以解决访问权限问题,但过度开放权限可能导致安全风险。建议使用 `chown` 和 `chgrp` 修改文件所有者和组,...
nginx-1.18.0+pgp,windows版
12-15
Nginx-1.18.0是针对Windows平台的版本,发布于2020年12月15日,被标记为“stable”(稳定版),这意味着它已经经过了充分的测试和验证,适合在生产环境使用。这个版本提供了稳定性和性能的保证,同时也修复了一些...
lighttpd http响应报文(Response)增加安全头Referrer-Policy和X-Permitted-Cross-Domain-Policies方法
wgl307293845的博客
10-28 3359
lighttpd http响应报文(Response)增加安全头Referrer-Policy和X-Permitted-Cross-Domain-Policies方法
web服务器/间件漏洞系列5:nginx漏洞汇总
W0ngk,一个安全菜鸡,一直在模仿,尚未有超越。
12-01 5940
复现环境: vulhub docker —> nginx 一、错误配置导致的漏洞 1、CRLF注入漏洞 漏洞原理: CRLF是”回车+换行”(\r\n)的简称,其十六进制编码分别为0x0d和0x0a。在HTTP协议,HTTP header与HTTP Body是用两个CRLF分隔的,浏览器就是根据这两个CRLF来取出HTTP内容并显示出来。所以,一旦我们能够控制HTTP消息头的字符,注入一些恶意的换行,这样我们就能注入一些会话Cookie或者HTML代码。CRLF漏洞常出现在Location与S.
Nginx漏洞总结
m0_67391518的博客
08-02 6989
Nginx(enginex)是一个高性能的HTTP和反向代理web服务器,同时也提供了IMAP/POP3/SMTP服务。其将源代码以类BSD许可证的形式发布,因它的稳定性、丰富的功能集、简单的配置文件和低系统资源的消耗而闻名。2011年6月1日,nginx1.0.4发布。Nginx是一款轻量级的Web服务器/反向代理服务器及电子邮件(IMAP/POP3)代理服务器,在BSD-like协议下发行。...
Nginx 解析漏洞
来日可期的博客
09-09 4040
Nginx空字节漏洞Nginx 解析漏洞复现,Nginx 文件名逻辑漏洞CVE-2013-4547)漏洞复现合集
检测到目标X-Permitted-Cross-Domain-Policies响应头缺失
lxyoucan的博客
07-19 4487
Web 服务器对于 HTTP 请求的响应头缺少 X-Permitted-Cross-Domain-Policies,这将导致浏览器提供的安全特性失效。当一些在线的 Web Flash 需要加载其他域的内容时,很多 Web 会通过设置一个 crossdomain.xml 文件的方式来控制其跨域方式。
nginx设置X-Frame-Options
zhaofuqiangmycomm的博客
03-05 9419
打开nginx.conf,文件位置一般在安装目录 /usr/local/nginx/conf 里。重新加载:nginx -s reload。检查是否有错:nginx -t。
生产环境nginx部署
08-02
生产环境,部署Nginx可以通过以下步骤进行: 1. 创建一个Nginx容器并运行。可以使用Docker命令或者Docker Compose来创建和管理容器。在创建容器时,可以指定Nginx的镜像和端口映射等配置。 2. 配置Nginx。在Nginx容器,主配置文件是`/etc/nginx/nginx.conf`,一般不建议直接修改该文件。而是通过在`/etc/nginx/conf.d`目录下创建子配置文件来进行配置。这样可以保持良好的拓展性。可以在子配置文件定义服务器配置,如监听的端口、代理规则、SSL证书等。 3. 配置负载均衡。在生产环境,为了实现高可用和负载均衡,可以使用Nginx与uWSGI或Gunicorn等应用服务器配合使用。Nginx作为反向代理服务器,将请求转发给后端的应用服务器。这样可以提高网站的性能和可靠性。 4. 处理静态资源。虽然uWSGI等应用服务器可以处理静态资源,但是Nginx处理静态资源方面更高效。因此,在生产环境,建议使用Nginx处理静态资源,如图片、CSS和JavaScript文件等。 综上所述,生产环境Nginx部署可以通过配置Nginx容器和子配置文件来实现,同时与uWSGI或Gunicorn等应用服务器配合使用,以实现负载均衡和高可用性。[1][2][3]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值