rojanzhang的专栏

规则描述：如果访问NGINX下的一个web应用，如果输入是一个目录名，而且该目录下没有一个默认访问文件，那么Nginx会将该目录下的所有文件列出来，这种敏感信息泄露是 严格禁止的。Nginx默认的是关闭目录列表，但是为了程序调试方便，部分程序员也有可能开启这一功能。因此，要确认该项配置是否正确。根据：审计描述：检查nginx.conf文件，是否存在以下配置：http {...

规则描述：在Nginx新版本发布后，公布旧版本的漏洞，黑客极容易获得这些信息，并针对更新不及时或者补丁未打的Nginx进行攻击。由此可见，版本号对黑客来说是最有价值 的。根据：审计描述：检查nginx.conf文件，是否存在以下配置：server_tokens off修改建议：方法一：通过修改配置文件Nginx.conf。1．访问Nginx.conf，...

规则描述：使用特权用户运行不符合最小授权原则。如果Nginx应用存在安全漏洞（比如XSS、注入漏洞等），恶意代码的执行权限就只是运行Nginx的帐号权限。例如，如果Nginx是以root身份运行的，不巧Nginx应用存在注入漏洞或缓冲溢出漏洞（通常是使用了高危的字符串处理函数，而且对外部输入没有做有效的检查），被攻击者发现了，利用该漏洞注入或植入了恶意代码，并且成功的让CPU执行了这段恶意代码...

规则描述：x-powered-By表示网站是用什么技术开发的，它会泄漏开发语言、版本号和框架等信息，有安全隐患，需要隐藏掉。根据：审计描述：检查nginx.conf文件，是否存在以下配置：proxy_hide_header X-Powered-By;修改建议：在nginx.conf文件中使用指令proxy_hide_header隐藏它proxy_hide_h...

规则描述：Nginx是可以直接响应静态页面，也有Web应用目录，限制其他用户对这些应用目录的访问，可以防止本地用户恶意或无意地影响Web应用程序的完整性。根据：审计描述：从nginx.conf中查找server的root目录；检查目录路径的权限为700，属主和属组为Nginx用户和用户组。修改建议：Nginx的Web应用目录是/www, Nginx运行用户为www的话，...

规则描述：Nginx日志文件包括错误日志和访问日志。两类日志必须都只允许其属主（Nginx运行用户）可读写，如果日志文件本身对非属主用户是可写的，别人就可能伪造日 志。根据：审计描述：检查访问日志和错误日志文件权限是否均为600，且其属主和属组为Nginx用户和用户组。修改建议：如果Nginx运行用户为www，执行下列命令：chown www:www /var/log/...

规则描述：其它用户有可能会覆盖配置文件，从而获取更高的权限或者更多的信息。根据：审计描述：执行#access=$(stat --format="%a" $nginxhome/conf/nginx.conf);if (( (0$access & 0177) != 0 ));then echo "$nginxhome/conf/nginx.conf $access (sho...

规则描述：不仅文件本身,Nginx根目录必须只能由属主来改写,Nginx根目录的所有父级目录的修改权限不能赋予除root和Nginx运行用户的其他普通用户。如果Nginx根目录 的某一父级目录的修改权限可以被其它普通用户拥有,那这个用户就可以删除这个父级目录下面原来的目录或文件然后新建同名的目录或文件,达到对目录下所有文 件进行篡改控制的目的。根据：审计描述：检查Nginx根目录及...

规则描述：可以从Nginx的核心模块中得知，如果请求发生重定向，Nginx默认的情况下，是会在重定向的URL后自动添加Nginx当前站点监听的端口。这样明显会对服务器造成 很大的威胁，后端端口暴露出来，就可能会被人直接对这个端口进行诸如CC类攻击。根据：审计描述：检查nginx.conf文件，是否存在以下配置：http { ...#Nginx will not ad...

规则描述：配置Nginx的超时时间，提高服务器的性能，降低客户端的等待时间。同时，在受到DOS攻击时，可以起到缓解作用。特殊情况下，请根据具体性能需求进行调优。根据：审计描述：检查nginx.conf文件，是否存在以下配置：server { client_body_timeout ... client_header_timeout ...keepalive_ti...