nginx配置不当容易产生的安全问题

最新推荐文章于 2024-07-30 10:41:28 发布
最新推荐文章于 2024-07-30 10:41:28 发布
阅读量567 收藏
点赞数
原文链接:http://www.cnblogs.com/sevck/p/11498249.html
版权

nginx一般用于做外网代理,配置也比较方便,但是配置不当的时候会产生一些安全问题。其中包括各个大厂也都出现过。

 

intra server ->  proxy -> nginx 

一般正常的流程是这样的

内网的集群或机器不直接连接外部,nginx做个proxy代理透出传递互联网。

 

如果nginx配置不当,或者nignx default_server没有配置或者配置内网,那么小心内网业务将被透传出去。

nginx 的 default_server 指令可以定义默认的 server 去处理一些没有匹配到 server_name 的请求,如果没有显式定义,则会选取第一个定义的 server 作为 default_server

也就是说nginx如果没配置default_server,那么nginx会默认找一个a-z的域名进行匹配的,这个是nginx的默认规则,如配置default_server为内网的业务,那么nginx也会默认使用。

nginx 批量载入配置 conf 时会按 ascii 排序载入,这就会以 server_a.conf server_b.conf server_c.conf 的顺序载入,如果没有声明 default_server 的话,那 server_a 会作为默认的 server 去处理 未绑定域名/ip 的请求

 

之前fofa沙龙中的分享也提到了,比如办公网透传host绑定外网即可漫游的情况。

引用图片:

 

 

参考链接:

http://r3start.net/wp-content/uploads/2019/08/2019080916135087.pdf 议题PPT

https://github.com/baimaohui-net/Hosts_scan host碰撞脚本

https://segmentfault.com/a/1190000015681272 关于nginx default_server问题

转载于:https://www.cnblogs.com/sevck/p/11498249.html

angaoux03775
关注
How SSL Certificate Connection Works in Nginx Configuration
AI天才研究院
08-03 838
对于Web开发者来说,SSL(Secure Sockets Layer,安全套接层)证书是一种经过认证的数字证书,可以确保网站提供的服务是加密且安全的。一般情况下,当用户打开访问网站时,浏览器会首先检查网站的域名是否与服务器的域名匹配,如果匹配则提示警告信息,用户确认后才可继续访问;若域名与服务器名匹配,则浏览器会向服务器发出请求,通过建立连接、发送握手协议并进行证书验证,确认双方身份后,就可以传输数据。
NGINX常见的安全风险有哪些?底层原理是什么?
长风破浪会有时的博客
05-06 817
NGINX 是一种高性能、可靠的 Web 服务器和反向代理服务器,由于其广泛应用和高性能特性,也成为攻击者攻击的目标之一。缓冲区溢出攻击:缓冲区溢出是指攻击者向服务器发送超过服务器处理能力的数据,从而导致缓冲区溢出,攻击者可以通过缓冲区溢出攻击来执行任意代码或者控制服务器。未授权访问:未授权访问是指攻击者利用应用程序中的漏洞或者直接访问 NGINX 服务器,获取服务器的敏感信息或者执行非法操作。HTTP 劫持:HTTP 劫持是指攻击者窃取用户的 HTTP 请求或者响应,从而获取用户的敏感信息。
Nginx中的网络安全问题
Edidaughter的博客
11-03 373
1.从网络原理来看SSL安全协议
确保nginx安全的10个技巧
jinyeweiyang的专栏
12-18 678
摘要: Nginx是当今最流行的Web服务器之一。它为世界上7%的web流量提供服务而且正在以惊人的速度增长。它是个让人惊奇的服务器,我愿意部署它。 下面是一个常见安全陷阱和解决方案的列表,它可以辅助来确保你的Nginx部署是安全的。 1. 在配置文件中小心使用”if... Nginx是当今最流行的Web服务器之一。它为世界上7%的web流量提供服务而且正在以惊人的速度增长。它是个让人惊
Nginx 优化
weixin_30345055的博客
11-07 131
原文:https://blog.youkuaiyun.com/xifeijian/article/details/20956605 nginx.conf文件中,Nginx中有少数的几个高级配置在模块部分之上。 userwww-data;pid/var/run/nginx.pid;worker_processesauto;worker_rlimit_nofile100000;user和pid...
玩转Nginx服务器,怎能Nginx配置和优化?
heshengfu1211的博客
07-22 366
全文内容总览 1 Nginx基本配置 Nginx配置文件默认在Nginx程序安装目录的conf目录下,主配置文件为nginx.conf,假设你的Nginx安装在/usr/local/webserver/nginx目录下,那么默认的主配置文件为/usr/local/webserver/nginx/nginx.conf,下面的代码是Nginx作为Web Server的完整配置示例 # 使用的用户和组 user www www; # 制定工作衍生进程数(一般等于CPU的总核数或者总核数的两倍,例如两个四核CP
配置陷阱揭露:Nginx HTTPS转HTTP问题的识别与解决
参考资源链接:[Nginx https配置错误:https请求重定向至http问题解决](https://wenku.youkuaiyun.com/doc/6412b6b5be7fbd1778d47b10?spm=1055.2635.3001.10343) # 1. Nginx基础与HTTPS概述 在现代互联网架构中,Nginx和...
nginx访问静态图片403 forbidden_五个案例“熄灭”Nginx漏洞隐患
weixin_39980353的博客
11-23 907
Nginx从2004年10月发布至今,已经趋于成熟和完善。在连接高并发的情况下,Nginx是Apache服务错的替代品,作为一款分布式轻量级的中间件Nginx也是存在大量的漏洞的。 下面我们针对常见的漏洞来进行探讨。01目录遍历漏洞漏洞介绍Nginx的目录遍历漏洞属于配置不当导致的漏洞,错误的配置使得目录被遍历与源码泄露‘。该漏洞的产生nginx.conf文件中的autoindex(目录浏览功...
Nginx服务
m0_54563444的博客
07-30 1094
HTTP:原理,特点,请求和响应,状态码 NGINX:i/o多路复用和异步非阻塞
Nginx高效配置】:多端口环境下的跨域请求流畅秘籍
!... # 摘要 本文深入探讨了Nginx服务器在处理跨域问题方面的...此外,本文还涉及了如何通过Nginx配置来优化服务器的调试与性能,并提供了针对单体应用和微服务架构的具体配置案例。最后,本文展望了Nginx未来的发展趋势
nginx正向代理配置,解决内外网隔离无法访问外网web地址问题
暖暖爸爸的博客
04-23 6551
前提: 内网电脑只能能够访问外网电脑的8086端口。 外网电脑能否访问外网地址。 nginx.conf配置文件示例如下: worker_processes 1; events { worker_connections 1024; } http { include mime.types; default_type application/octet-stream; sendfile on; keepalive_ti...
Nginx安全控制
牵着蜗牛_去散步
11-17 896
通过代理分开了客户端到应用程序服务器端的连接,实现了安全措施。在反向代理之前设置防火墙,仅留一个入口供代理服务器访问。
服务器网站安全维护之nginx安全设置篇
网站安全专家
05-14 1039
服务器的安全防护中,网站环境的搭建与安全部署也是很重要的一部分,目前大多数的服务器都使用的是nginx来搭建网站的运行环境,包括windows服务器,linux服务器都在使用,nginx安全设置对于服务器安全起到很重要的作用。关于如何设置nginx安全,以及服务器的安全部署,我们SINE安全公司来详细的给大家介绍一下: 大部分的网站使用nginx来做负载均衡以及前端的80端口代码来进行静态...
Nginx安全优化详细总结
toplanxue的博客
06-01 1067
隐藏Nginx软件版本号信息 Nginx 每个版本都有特定的漏洞,通过隐藏版本可以增加被入侵的难度 只需要在Nginx配置文件nginx.conf 的http 标签段内加入“server_tokens off; ” 当然更有效的方法就是更改源码隐藏的Nginx软件名及版本号 修改的第一个文件为/nginx-1.10.3/src/core/nginx.h 如下 [root@2kb.com]# sed...
问题】4.Nginx之default_server问题
颜淡慕潇
12-16 8855
nginx 的 default_server 指令可以定义默认的 server出处理一些没有成功匹配 server_name 的请求1.显示定义2.指定Server_name3.隐式定义这三种方式都可禁止 ip 直接访问且 1,3同时可以禁止未绑定域名的访问(比如泛解析了主域名)。如果没有显式定义,则会选取第一个定义的 server 作为 default_server。http {# 显示的定义一个 default serverserver {}}
技术分享|由于Nginx配置不当而导致内网资产暴漏
baidu_38876334的博客
03-30 916
当前有部分企业通常会在外网部署一些Nginx服务器,然后在Nginx配置域名绑定。用户访问对应的域名,Nginx通过反向代理将对应的内网资源反馈给互联网上的用户,这样企业可以把服务器部署在自己的内网中,又可以让用户访问到一举两得。但是如果配置不当的话,一些应该让用户访问到的资源,用户通过特殊的手段也可以访问到。运维人员无意中犯了一个错误,他把内网的管理系统和业务系统都用同一台nginx服务器进行反向代理,且这台服务器外网用户可以直接访问到。为了方便企业员工办公,运维人员同样给管理系统绑定了域名。
Unraid的NginxProxyManager新安装以后出现初始账号登录失败502问题 gateway
Yourset的博客
05-10 9046
新安装以后出现初始账号登录失败502问题 gateway,怎么可能登录都没得登录呢 这个问题情况大概如下 si突然没找到图,大概演示一下吧 反正就是一种502错误 查了日志和各种东西都没什么用 重装也重装了好几次 (这个图里的错误代码是我自己画的,反正大概那个意思,就是莫名其妙报502错误(登录失败)) 后面我是通过查看gayhub中的issue 中的情况,发现这么一段文字,具体图没了,但是我留下了翻译 也就是说可能你之前有装过nginx相关的应用,所以出问题了 解..
Nginx配置不当可能导致的安全问题
weixin_30394669的博客
04-27 1613
Nginx配置不当可能导致的安全问题 Auther: Spark1e目前很多网站使用了nginx或者tenginx(淘宝基于Nginx研发的web服务器)来做反向代理和静态服务器,ningx的配置文件nginx.conf的一些错误配置可能引发一些安全问题。要了解这些问题,我们先简单了解一下Nginx配置文件 0x00 Nginx配置文件的格式 Nginx的主配置文件非常简短,是由一些模块...
一直报 Request failed with status code 500
最新发布
02-20
### 排查和修复 HTTP 请求返回 500 内部服务器错误 #### 错误概述 HTTP 500内部服务器错误表示服务器遇到了意外情况,阻止其正常履行请求[^1]。这类错误可能源于多种因素,包括但限于服务器端程序缺陷、数据库连接失败、权限足以及配置失误。 #### 常见原因分析 ##### 服务器端程序错误 应用程序中的逻辑错误或未捕获异常可能导致此响应。这通常发生在应用试图访问存在的数据资源或是执行非法操作的时候。 ##### 数据库连接问题 如果Web应用程序依赖于后台数据库来获取数据,则任何影响到这些链接稳定性的变化都可能会触发此类错误。例如,更改了数据库用户名/密码却忘记更新相应的设置文件就会造成认证失败从而引发500错误[^3]。 ##### 权限够 某些脚本需要特定级别的操作系统级或其他形式的安全许可才能成功运行;一旦缺失必要的授权信息就容易发生这种情况。比如,在IIS环境中调整了默认的应用池身份验证方式之后没有同步修改相关组件所需的最低限度安全策略也可能导致这个问题出现。 ##### 配置不当 正确的web.config或者其他重要的配置文档里的参数设定同样会干扰到整个系统的运作流程,进而产生意想到的结果——即所谓的“内部服务器错误”。特别是对于那些经过定制化安装部署的服务而言更是如此[^2]。 #### 解决方案建议 针对上述提到的各种可能性采取相应措施: - **审查日志记录**:查看服务器的日志文件可以帮助定位具体的故障位置。大多数现代网络框架都会自动生成详细的跟踪报告用于调试目的。 - **测试环境重现**:尽可能在一个隔离的开发环境下模拟生产条件下的行为模式以便更精确地找出根源所在。 - **逐步回滚变更**:如果有最近实施过的改动(无论是代码还是基础设施层面),可以考虑撤销它们看是否会有所改善。 - **咨询官方支持渠道**:当遇到难以自行解决的技术难题时求助于产品供应商往往能获得专业的指导和支持。 - **升级软件版本**:确保所使用的中间件处于最新状态有时也能有效规避已知漏洞带来的风险。 最后值得注意的是,由于每个实例的具体背景同因此实际解决问题的过程当中还需要灵活运用以上原则并结合实际情况做出适当调整。 ```bash # 查看Apache/Nginx等Web Server的日志文件路径通常是/var/log/httpd/error_log 或 /var/log/nginx/error.log tail -f /path/to/your/webserver/error.log ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值