日日操夜夜添-日日操影院-日日草夜夜操-日日干干-精品一区二区三区波多野结衣-精品一区二区三区高清免费不卡

公告:魔扣目錄網(wǎng)為廣大站長提供免費(fèi)收錄網(wǎng)站服務(wù),提交前請做好本站友鏈:【 網(wǎng)站目錄:http://www.ylptlb.cn 】, 免友鏈快審服務(wù)(50元/站),

點(diǎn)擊這里在線咨詢客服
新站提交
  • 網(wǎng)站:51998
  • 待審:31
  • 小程序:12
  • 文章:1030137
  • 會員:747

服務(wù)器的安全防護(hù)中,網(wǎng)站環(huán)境的搭建與安全部署也是很重要的一部分,目前大多數(shù)的服務(wù)器都使用的是Nginx來搭建網(wǎng)站的運(yùn)行環(huán)境,包括windows服務(wù)器,linux服務(wù)器都在使用,nginx的安全設(shè)置對于服務(wù)器安全起到很重要的作用。關(guān)于如何設(shè)置nginx安全,以及服務(wù)器的安全部署,我們來詳細(xì)的給大家介紹一下:

 

nginx網(wǎng)站漏洞該如何修復(fù) 加強(qiáng)服務(wù)器的安全防護(hù)

 

 

大部分的網(wǎng)站使用nginx來做負(fù)載均衡以及前端的80端口代碼來進(jìn)行靜態(tài)html文件的訪問,nginx的安全設(shè)置如果沒有設(shè)置好會導(dǎo)致服務(wù)器安全出現(xiàn)問題,可能會導(dǎo)致服務(wù)器被入侵,以及網(wǎng)站被攻擊。

nginx 在linux centos系統(tǒng)里,使用的是nginx.conf的格式文件來作為網(wǎng)站的配置文件,里面的配置主要是綁定域名,以及端口,指定到網(wǎng)站的目錄地址,偽靜態(tài)規(guī)則,看下圖:

 

nginx網(wǎng)站漏洞該如何修復(fù) 加強(qiáng)服務(wù)器的安全防護(hù)

 

 

從上圖的配置文件中,我們可以看出,nginx的內(nèi)部結(jié)構(gòu)很清晰,每一行代碼都寫的很精簡,針對的功能也是唯一的,每個代碼對應(yīng)的指令以及作用劃分的很仔細(xì),其中server就是我們IIS配置的host地址,比如域名以及IP地址,在server的代碼里寫入端口,可以將網(wǎng)站設(shè)置成端口形式的訪問。現(xiàn)在我們大體的了解了什么nginx,那么nginx設(shè)置不全面,會導(dǎo)致那些漏洞呢?

最常見的就是網(wǎng)站目錄可以被任意的查看,也就是網(wǎng)站目錄遍歷漏洞,這個簡單來說就是如果服務(wù)器里有很多網(wǎng)站,隨便一個網(wǎng)站被攻擊,都會導(dǎo)致服務(wù)器里的全部網(wǎng)站被攻擊,因為可以跨目錄的查看任意網(wǎng)站的程序代碼。通常導(dǎo)致該漏洞的原因是在配置nginx的時候,有些服務(wù)器運(yùn)維人員會將autoindex on;代碼寫入到server行里,導(dǎo)致發(fā)生目錄遍歷漏洞。如下圖就是目錄可以被任意的瀏覽,包括網(wǎng)站里包含了那些代碼,都看的一清二楚。

 

nginx網(wǎng)站漏洞該如何修復(fù) 加強(qiáng)服務(wù)器的安全防護(hù)

 

 

nginx設(shè)置導(dǎo)致的URL注入漏洞,服務(wù)器里的網(wǎng)站在使用SSL證書,啟用443端口訪問網(wǎng)站,nginx會自動代理,并加載SSL證書,有些會設(shè)置nginx強(qiáng)制的跳轉(zhuǎn)到https網(wǎng)站,使用302的協(xié)議進(jìn)行強(qiáng)制跳轉(zhuǎn),如果技術(shù)人員設(shè)置成return 302 https://$host$uri,會導(dǎo)致網(wǎng)站存在SQL注入漏洞,$uri變量值的含義是:請求文件以及網(wǎng)站的路徑,當(dāng)nginx環(huán)境進(jìn)行傳遞參數(shù)值的時候,可以插入惡意代碼到網(wǎng)站中執(zhí)行,并提交到數(shù)據(jù)庫后端進(jìn)行sql查詢,注入漏洞就因此而發(fā)生,建議服務(wù)器的運(yùn)維人員不要對此進(jìn)行設(shè)置。

關(guān)于nginx的安全設(shè)置方面,服務(wù)器的維護(hù)人員盡量嚴(yán)格的進(jìn)行設(shè)置,對目錄的瀏覽權(quán)限詳細(xì)的分配,對https協(xié)議訪問的網(wǎng)站也要加強(qiáng)302的強(qiáng)制跳轉(zhuǎn)參數(shù)設(shè)置,如果您對服務(wù)器安全防護(hù)方面不是太懂的話,也可以找專業(yè)的安全公司處理。

分享到:
標(biāo)簽:漏洞 網(wǎng)站 nginx
用戶無頭像

網(wǎng)友整理

注冊時間:

網(wǎng)站:5 個   小程序:0 個  文章:12 篇

  • 51998

    網(wǎng)站

  • 12

    小程序

  • 1030137

    文章

  • 747

    會員

趕快注冊賬號,推廣您的網(wǎng)站吧!
最新入駐小程序

數(shù)獨(dú)大挑戰(zhàn)2018-06-03

數(shù)獨(dú)一種數(shù)學(xué)游戲,玩家需要根據(jù)9

答題星2018-06-03

您可以通過答題星輕松地創(chuàng)建試卷

全階人生考試2018-06-03

各種考試題,題庫,初中,高中,大學(xué)四六

運(yùn)動步數(shù)有氧達(dá)人2018-06-03

記錄運(yùn)動步數(shù),積累氧氣值。還可偷

每日養(yǎng)生app2018-06-03

每日養(yǎng)生,天天健康

體育訓(xùn)練成績評定2018-06-03

通用課目體育訓(xùn)練成績評定