利用Nginx反向代理获取数据

于 2024-09-06 11:06:26 发布
阅读量205 收藏 3
点赞数 7
分类专栏: 渗透工具 文章标签: nginx web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xc_214/article/details/141952991
版权

反向代理原理:

反向代理(reverse proxy)是指用代理服务器来接受外部的访问请求,然后将请求转发给内网的上游服务器,并将从上游服务器上得到的结果返回外部客户端。

如上所述,通过反向代理达到一个中间人的作用,也就可以获取用户和上游网站的通信流量,达到窃取认证凭证的目的。

Nginx安装:

Ubuntu安装命令:sudo apt-get install nginx -y
Centos安装命令:sudo yum install -y nginx

 

启动命令:

Ubuntu:service nginx start
Centos:systemctl start nginx.service

 启动nginx后查看下状态,以ubuntu为例

service nginx status

反向代理文件配置:

访问反向代理配置文件如下

vim /etc/nginx/sites-enabled/reverse-proxy.conf

 将下列代码加入到配置文件中 这里反代的网站以vulfocus.cn为例(反代的网站尽量不要选择大站因为大站存在反代限制)

server
{
listen 8089; # 监听端口
server_name 127.0.0.1; # 本机真实IP
location / {
proxy_pass https://vulfocus.cn/; # 反代的网站,即想要伪造的网站
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
 }
access_log /var/log/nginx/access_log_8089.log testLog; # 日志保存位置,testLog为自定义的日志格式
}

配置完反向代理后进入nginx.conf进行配置

vim /etc/nginx/nginx.conf

 加入以下代码进行日志记录

log_format testLog escape=json '$request_filename $http_x_forwarded_for $fastcgi_script_name $document_root $request_body' $http_cookie;
include /etc/nginx/sites-enabled/reverse-proxy.conf;

配置完后进行nginx重启

service nginx restart

 访问开启的反代站点进行验证

日志查看:

 进入nginx日志存储地址查看日志信息 便可看到输入的用户信息

cd /var/log/nginx/

iSee857
关注
  • 7
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Nginx反向代理与正向代理配置
悦分享
12-30 1356
Nginx是一款轻量级的Web 服务器 、反向代理服务器及电子邮件(IMAP/POP3)代理服务器。主要有反向代理,负载均衡等功能。nginx newsNginx是一款免费开源的高性能 HTTP 代理服务器及反向代理服务器(Reverse Proxy)产品,它高并发性能很好,官方测试能够支撑 5 万的并发量;运行时内存和 CPU 占用率低,配置简单,容易上手,而且运行非常稳定。
Nginx——Nginx反向代理
weixin_44623055的博客
05-11 3452
1、Nginx反向代理概述 正向代理代理的对象是客户端,反向代理代理的是服务端,这是两者最大的区别。 Nginx既可以实现正向代理,也可以实现反向代理。 1.1、Nginx正向代理 1、服务端的设置 log_format main 'client send request=>clientIp=$remote_addr serverIp=$host'; server { listen 80; server_name localhost; # 指定日志文件存放位置和格式
nginx利用反向代理实现获取用户真实ip
qq_27321063的博客
03-31 6511
我们访问互联网上的服务时,大多数时,客户端并不是直接访问到服务端的,而是客户端首先请求到反向代理反向代理再转发到服务端实现服务访问,通过反向代理实现路由/负载均衡等策略。这样在服务端拿到的客户端IP将是反向代理IP,而不是真实客户端IP,因此需要想办法来获取到真实客户端IP web服务器获得真正的用户和真实的ip ? 客户端访问服务端的数据流走向 可以看出,服务端根本获取不到真实的客户端ip,只能获取到上一层服务的ip,那么nginx怎样才能获取到真实的ip呢? 反向代理:获取上一节的ip,
Nginx 反向代理使用配置说明
征客
07-19 933
如果不及时清理会导致磁盘空间被“吃光”,因此我们需要一套完善的缓存清理机制去删除缓存,在之前的proxy_cache_path参数中有purger相关的选项,开启后可以帮我们自动清理缓存,但遗憾的是:purger系列参数只有商业版的NginxPlus才能使用,因此需要付费才可使用。相反,有些项目的业务对数据的实时性要求并不高,追求的则是更高的吞吐,那么则可以开启tcp_nopush配置项,这个配置就类似于“塞子”的意思,首先将连接塞住,使得数据先不发出去,等到拔去塞子后再发出去。
Nginx反向代理与负载均衡
ll945608651的博客
04-23 2294
代理是在服务器和客户端之间假设的一层服务器,代理将接收客户端的请求并将它转发给服务器,然后将服务端的响应转发给客户端。
Nginx代理(反向代理详解)
L08130421的博客
08-02 1547
缓存主要是备份,将被代理服务器的数据缓存一份到代理服务器,这样的 话,客户端再次获取相同数据的时候,就只需要从代理服务器上获取,效 率较高,缓存中的数据可以重复使用,只有满足特定条件才会删除.翻译成大家能熟悉的说法就是将我们常用的http请求转变成https请求,那么这两个之间的区别简单的来说两个都是HTTP协议,只不过https是身披SSL外壳的http.关于web服务器的安全是比较大的一个话题,里面所涉及的内容很多,Nginx反向代理是如何来提升web服务器的安全呢。
Nginx学习笔记(五)——Nginx 反向代理获取客户端ip
ranrancc_的博客
01-19 1433
文章目录一、Nginx反向代理获取客户端的真实IP 一、Nginx反向代理获取客户端的真实IP 我们访问互联网的服务时,大多数时,客户端并不是直接访问到服务端的,而是客户端首先请求到反向代理反向代理再转发到服务端实现服务访问。 可以看出,nginx反向代理实现跨域的同时也彻底改变了服务器的请求来源,隔离了用户和服务器的连接,服务端获取不到真实的客户端ip,只能获取到反向代理服务的ip,那么ng...
【实战】Nginx反向代理
小李的博客
08-22 373
Nginx反向代理 Nginx反向代理就是利用一个暴露的代理服务器的地址去隐藏真实的服务器的ip地址; 客户端对代理服务器是无感知的,客户端不需要做任何配置,用户只请求反向代理服务器,反向代理服务器选择目标服务器,获取数据后再返回给客户端。 Nginx可以同时代理不同的服务器,而只需暴露一个代理服务器的地址 1.Nginx的下载: http://nginx.org/en/download.html 然后选取下载后,将下载到的文件解压会得到一个文件夹,这个文件夹就是Nginx的启动器以及配置文件 2.利用c
使用Nginx反向代理为多个后端提供服务
这里是二进制空间安全博客,主要分享网络安全、信息安全和数据安全相关的技术文章。内容覆盖编程语言、基础知识、漏洞分析、攻防技巧、安全工具使用、最佳实践等安全技术主题。
09-12 2656
在工作中经常有多个项目要管理,但我没有财力为每个项目支付单独的虚拟私有服务器(VPS)进行托管。使用反向代理, 有了已经拥有的VPS,可以托管多个项目,并使用反向代理根据用户使用的网址将请求引导到正确的项目。这为我以合算的价格有效地管理所有项目打开了新的大门。
【网络安全】逻辑漏洞:绕过应用程序重要功能
等风来
09-01 248
拦截请求,将其发送到 Burp 中的 Repeater,当我尝试重放请求时,我收到了“ 500 响应”,表示出现错误
【网络安全】服务基础第一阶段——第八节:Windows系统管理基础---- Web服务与虚拟主机
goldfish8848的博客
08-31 1519
万维网WWW是World Wide Web的简称,也称为Web、3W等。WWW是基于客户机/服务器方式的信息发现技术和超文本技术的综合。WWW服务器通过超文本标记语言(HTML)把信息组织称为图文并茂的超文本,利用连接从一个站点跳到另一个站点。这样一来就彻底摆脱了以前查询工具只能按特定路径一步步的查找信息的限制WWW(World Wide Web,万维网)是存储在Internet计算机中数量巨大的文档的集合。这些文档称为页面,它是一种超文本(Hypertext)信息,可以用来描述超媒体。
浅谈网络安全的认识与学习规划
最新发布
qq_201729558
09-05 360
本文主要介绍网络安全认识与学习规划
【补-网络安全】日常运维(二)终端端口占用排查
Ryoujou的博客
09-02 254
端口占用及开放情况
全球性“微软蓝屏”事件的深思:网络安全与系统稳定性的挑战与应对
图灵追幕者博客录
09-05 604
近日,由于微软视窗系统软件更新引发的全球性“微软蓝屏”事件,成为科技领域的热点新闻。这次事件不仅影响了全球约850万台设备,波及航空、医疗、传媒等关键行业,还导致美国超过2.3万架次航班延误。如此规模的系统中断,再次将网络安全与系统稳定性的问题推上了风口浪尖。这次事件为我们敲响了警钟,提醒我们必须更加重视网络安全和系统稳定性。那么,如何构建一个更加稳固和安全的网络环境?在网络安全和系统稳定性方面,我们应采取哪些措施?
网络安全售前入门10安全服务——安全培训服务
打工人
09-02 1066
对企业人员进行安全意识培训,提高企业人员的安全意识。应对信息安全风险能力、信息系统安全运维水平,降低信息系统安全风险的重要工作,是《网络安全法》的合规性要求。
【网络安全】漏洞挖掘
anquan2233的博客
08-29 1545
在springframeworl/expression/spel/stand/InternalSpelExpressionParser/doParseExpression()方法中、会在tokenizer.process()中 对token进行 源码与字节码的判断操作、继续向下。会进入到springframework/cloud/function/context/config/RoutingFunction/functionFromExpression()方法。Payload 的构造可以参考官方测试用例。
信息安全--(四)网络安全体系与安全模型(二)
m0_60936698的博客
08-30 1127
■ 等级保护分为五个:第一级(用户自主保护级)、第二级(系统审计保护级)、第三级(安全标记保护级)、第四级(结构化保护级)、第五级(访问验证保护级)。■ ①扩大了对象方位,将云计算、移动互联、物联网、工业控制系统等列入标准范围,构成了“网络安全 通用要求+新型应用的网络安全扩展要求”的要求内容。■ 管理手段:包括安全评估、安全监管、应急响应、安全协调、安全标准和规范、保密检查、认证和访 问控制等;管理目标: (大)政治、经济、文化、国防安全等,(小)网络系统的保密、可用、可控等。·监督安全项目的实施;
人工智能在网络安全中的重要性
wholeliubei的博客
09-05 236
人工智能(AI)是计算机科学的一个分支,基于某些独特的算法和相关数学计算,使机器能够拥有人类的决策能力。另一方面,网络安全包括保护虚拟世界免受网络攻击和威胁的安全措施。人工智能能够通过采取与精确算法和数学计算相关的安全措施来保护和清理网络空间。随着人工智能在现代世界中的作用增加,对网络安全的威胁已成为一个严重的问题。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值