Nginx+Naxsi(web防火墙)防止XSS和SQL注入攻击的解决方案

最新推荐文章于 2025-03-26 09:51:41 发布
最新推荐文章于 2025-03-26 09:51:41 发布
阅读量2.1k 收藏 4
点赞数 1
分类专栏: java web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/cheng731115175/article/details/97116276
版权

Naxsi是一个开放源代码、高效、低维护规则的Nginx web应用防火墙(Web Application Firewall)模块。Naxsi的主要目标是加固web应用程序,以抵御SQL注入、跨站脚本、跨域伪造请求、本地和远程文件包含漏洞。


1、下载并解压nginx及naxsi文件
# cd /usr/local/src/
# wget http://nginx.org/download/nginx-1.16.0.tar.gz
# wget https://github.com/nbs-system/naxsi/archive/master.zip
# tar xvzf nginx-1.16.0.tar.gz
# tar zxvf naxsi-master.zip
2、安装nginx及naxsi
# cd nginx-1.16.0
# ./configure --prefix=/usr/local/nginx --add-module=/usr/local/src/naxsi-master/naxsi_src/
# make
# make install
3、复制Naxsi核心配置文件到nginx/conf下
# cp /usr/local/src/naxsi-master/naxsi_config/naxsi_core.rules /usr/local/nginx/conf/
4、在nginx.conf配置文件中添加Naxsi核心配置文件(核心规则文件naxsi_core.rules)
......
http {
    include       mime.types;
    include       /usr/local/nginx/conf/naxsi_core.rules;      #加载naxsi 核心规则文件
        default_type  application/octet-strea

最低0.47元/天 解锁文章
基于nginx的waf方案naxsi源码理解(2)_安装运行
zhjuan的专栏
07-12 377
naxsi是基于nginx(从技术上讲,它是一个第三方的nginx模块)的web应用防火墙(waf)。主要功能包括:SQL注入 检测、XSS 检测、CSRF 检测、目录遍历 检测、OBVIOUS RFI 检测、文件上传漏洞 检测等,并支持则及字符串的自定义策略。
nginx拦截sql注入解决方案
Baron的技术blog
02-23 3449
1.get请求好处理 2 .post请求 由于需要拿到请求体,需要安装lua插件支持 当前方案 : get在server级别处理 post在lication级别处理 if ($query_string ~* ".*('|--|union|insert|drop|truncate|update|from|grant|exec|where|select|and|chr|mid|like|iframe|script|alert|webscan|dbappsecurity|style|WAIT FOR
Nginx防止SQL注入攻击的相关配置介绍
09-30
主要介绍了Nginx防止SQL注入攻击的相关配置介绍,文中提到的基本思路为将过滤的情况用rewrite重订向到404页面,需要的朋友可以参考下
Nginx使用Naxsi搭建Web应用防火墙(WAF),防xss防注入×××
weixin_34128534的博客
08-04 2311
Naxsi是一个开放源代码、高效、低维护规则的Nginx web应用防火墙Web Application Firewall)模块。Naxsi的主要目标是加固web应用程序,以抵御SQL注入、跨站脚本、跨域伪造请求、本地远程文件包含漏洞。官网地址:https://github.com/nbs-system/naxsi Naxsi 不要求任何特定的依赖,它需要的 libpcre ,libssl ,...
Nginx 主机头注入攻击与防御
最新发布
王小工小工历程
03-26 783
通过上述措施,可有效阻断主机头注入攻击,同时保障业务的高可用性与安全性‌。
【运维】利用Nginx进行防SQL注入
weixin_37543485的博客
09-15 2748
Nginx不直接处理SQL注入,但可以在反向代理层面采取一些措施来增强安全性,主要是利用nginx配置文件nginx.conf中server模块,减少SQL注入攻击的风险。将下面的Nginx配置文件代码放入到server块中,然后重启Nginx即可。
nginx防止sql注入
tianyu00的专栏
03-22 1895
其实nginx不具备防止sql注入的功能,但是nginx可以过滤url  if ($request_uri ~* "(cost\()|(concat\()") {           return 404;   }   if ($request_uri ~* "[+|(%20)]union[+|(%20)]") {           return 404;   }
nginx过滤sql注入
zhangfeng5909的博客
06-25 460
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接本声明。原文链接:https://blog.youkuaiyun.com/weixin_37543485/article/details/132896537。#拦截各恶意请求的UA,可以通过分析站点日志文件或者waf日志作为参考配置。#拦截WebBench或者类似压力测试工具,其他工具只需要更换名称即可。#同上,大家根据自己站点实际情况来添加删减下面的屏蔽拦截参数。#这里大家根据自己情况添加删减上述判断参数。
Ghost博客安装脚本:使用NginxModSecurityNaxsi防火墙
ModSecurity是一个开源的Web应用防火墙(WAF),它能保护Web应用免受诸如SQL注入、跨站脚本(XSS)等攻击。ModSecurity的NAXSINginx Anti XSS & SQL Injection)模块是一个强大的、开源的、高性能的Web应用防火墙...
Webkaos: 基于Nginx的高性能Web服务器升级特性
NAXSI能够有效防止常见的网络攻击,如SQL注入、跨站脚本攻击XSS)等,从而保护Webkaos服务器上的应用免受攻击。 除了安全方面的改进之外,Webkaos也优化了Web服务器的性能。其中包括改进了SysV脚本对高负载下的...
全面体验Nginx L7层DDoS防御及其强大功能
- Nginx的模块化设计允许引入额外模块增强其安全性能,如使用NAXSI(一种开源的Nginx模块)来识别阻止SQL注入XSS攻击。 - 使用Nginx作为反向代理可以增加一层缓冲,分散直接针对应用服务器的流量,增强安全...
nginx防止SQL注入规则(非常详细)
热门推荐
lyj1101066558的博客
01-11 1万+
$request_uri This variable is equal to the *original* request URI as received from the client including the args. It cannot be modified. Look at $uri for the post-rewrite/altered URI. Does not includ
Nginx攻击防护、CC防护、防止SQL注入、防XSS的实践配置方法
云博客_资源宝分享
02-13 1万+
Nginx攻击防护、CC防护、防止SQL注入、防XSS的实践配置方法
Nginx 防止SQL注入XSS攻击的实践配置方法
baoba84620的专栏
06-15 2751
   下班的时候,发现博客访问缓慢,甚至出现504错误,通过 top -i 命令查看服务器负载发现负载数值飙升到3.2之多了,并且持续时间越来越频繁直至持续升高的趋势,还以为是被攻击了,对来访IP进行了阈值限制后效果并不是很明显,CDN服务里限制几个主要...
SQL 登录注入脚本_常见web安全问题,SQL注入XSS、CSRF,基本原理以及如何防御...
weixin_39774491的博客
11-20 287
1.SQL注入原理:1).SQL命令可查询、插入、更新、删除等,命令的串接。而以分号字元为不同命 令的区别。(原本的作用是用于SubQuery或作为查询、插入、更新、删除……等 的条件式)2).SQL命令对于传入的字符串参数是用单引号字元所包起来。(但连续2个单引 号字元,在SQL资料库中,则视为字串中的一个单引号字元)3).SQL命令中,可以注入注解预防:1).在设计应用程序时,完全使用参数化查...
nginx防mysql注入_nginx防止sql注入
weixin_36041939的博客
02-08 531
防止sql注入最好的办法是对于提交后台的所有数据都进行过滤转义。对于简单的情况,比如包含单引号' , 分号;, , 等字符可通过rewrite直接重订向到404页面来避免。用rewrite有个前提需要知道,一般用rewrite进行正则匹配只能匹配到网页的URI,也就是url中?前部分,?以后部分是请求参数。问号后面的请求参数,在nginx用$query_string表 示,不能在rewrite中匹...
Nginx实现XSSSQL注入防护 —— 筑梦之路
筑梦之路
06-21 1543
将下面的 配置文件代码放入到对应站点的 配置文件 里,然后重启 即可生效
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值