2、是否限制可用的方法----------if ($request_method !~ ^(GET|HEAD|POST)$ ) {return 444; }在哪里配置?
---该段代码的作用是屏蔽非GET、HEAD或POST类型请求,返回XXX状态码。
根据作用范围,配置在server、location中都可以。
参考:
server {
listen 8083;
server_name localhost;
if ($request_method !~ ^(GET|HEAD|POST)$ )
{
return 403;
}
……
}
3、是否存在目录遍历 ----------没有autoindex参数是否合格?
---nginx默认autoindex为off,一般不需要配置。
ngx_http_autoindex_module配置参考:http://wiki.nginx.org/NginxChsHttpAutoindexModule
http://www.ctohome.com/FuWuQi/46/375.html
配置参考:
location ^~/ui/ {
root /netapp/applications/NetbWeb4;
expires max;
autoindex on;
autoindex_exact_size off;
autoindex_localtime on;
}
配置前访问效果
配置后访问效果
4、是否存在文件类型解析漏洞----------location 节点中无try_files $fastcgi_script_name = 404;是否合格?
---1)该漏洞应该是针对nginx解析php的,目前我们的应用没有使用php,并已在nginx配置中设有屏蔽,如下
location ~* \.(php|asp|aspx)$ {
rewrite ^(.*) http://172.19.67.1:8083/404.html redirect;
}
2)若应用中采用php,则可以采用以下方式解决
关闭cgi.fix_pathinfo为0
或者
if ( $fastcgi_script_name ~ \..*\/.*php ) {
return 403;
}
参考:http://www.80sec.com/nginx-securit.html
- 大小: 61.2 KB
- 大小: 209.9 KB
分享到:
相关推荐
在运维自动化领域,使用Python进行nginx配置文件的对比是一项非常实用的技能。nginx是一个高性能的HTTP和反向代理服务器,也是IMAP/POP3/SMTP服务器,广泛用于负载均衡、静态内容服务等场景。随着服务部署的增多,...
Nginx 的核心配置文件是 `/etc/nginx/nginx.conf`(Linux)或 `nginx.conf`(Windows),通过修改此文件可以配置服务器的各项参数。基本结构包括全局块、events 块、http 块、server 块和 location 块。例如,创建一...
#### 一、安装问题汇总 **问题1:执行./configure检查报错** ``` ./configure:error:theHTTPrewritemodulerequiresthePCRElibrary. Youcaneitherdisablethemodulebyusing--without-http_rewrite_module option,...
有关nginx配置文件的语法的信息,请参阅官方文档(特别是《入门指南》)。 如果您希望采用默认配置,请使用以下类似内容从运行的nginx容器中复制它: $ docker run --name tmp-nginx-container -d nginx $ ...
我们可以在Nginx配置文件中添加以下代码: ``` log_format json '{"@timestamp":"$time_iso8601","@version":"1","server_addr":"$server_addr","remote_addr":"$remote_addr","host":"$host","uri":"$uri","body_...
Nginx作为一款高性能的HTTP和反向代理服务器,其Access Log记录了所有客户端请求的详细信息,是进行系统监控和问题排查的重要资源。在传统的日志分析中,AWK经常被用作工具来处理和解析这些日志,但当面对大量数据时...
stub_status指令提供了关于Nginx工作状态的简单汇总,包括当前的活动连接数、连接处理情况等。sub_filter指令则用于替换响应中的文本内容,可以用于实现动态内容的静态化。 Nginx支持将请求压缩到上游,这可以减少...
ngx_lua允许将Lua脚本嵌入到Nginx配置中,而ngx_drizzle模块则是用于数据库连接池的管理。最后,介绍了如何将ngx_lua和ngx_drizzle结合在一起,以实现更加高效和灵活的Web应用。 当前工作部分讨论了淘宝即将发布的...
Nginx 基础知识点汇总 Nginx 是一个跨平台、配置简单、方向代理、高并发连接的服务器,可以处理 2-3 万并发连接数,官方监测能支持 5 万并发,内存消耗小,开启 10 个 Nginx 才占 150M 内存。Nginx 处理静态文件好...
在Nginx配置中,多个`server`块监听同一端口时,匹配顺序有特定规则。首先,会尝试匹配`server_name`完全一致的区块,接着是通配符匹配,如`*.pm.com`,然后是正则表达式匹配。如果没有匹配到任何规则,将会匹配到`...
【标题】:CentOS系统配置(各种服务配置、软件安装)汇总 【正文】: 本文档将详细探讨在CentOS操作系统上进行系统配置、服务设置和软件安装的关键知识点。CentOS是一个基于Red Hat Enterprise Linux的开源操作...
3. **多网站部署与访问**:在虚拟主机上通过Apache或Nginx配置多个域名和站点,理解端口、别名和SSL证书的配置。 4. **Mysql操作**:掌握基本的SQL语句,如CREATE DATABASE、ALTER TABLE、DELETE FROM等,以及备份...
nginx出现这个问题的原因是请求实体太长了。一般出现种情况是Post请求时Body内容Post的数据太大了,如上传大文件过大、POST数据比较多。处理方法 在nginx.conf增加 client_max_body_size的相关设置, 这个值默认是1m...
Nginx配置文件通常位于/etc/nginx/nginx.conf,需要设置的参数包括监听端口、服务器块配置、location块配置等。 7. Linux服务器配置的细节: 文档中还提到了一些关于Linux服务器配置的细节,例如配置文件中的注释、...
3. **多网站部署与访问**:在虚拟主机环境下,如何配置Apache或Nginx实现多个网站的绑定、SSL证书和负载均衡。 4. **Mysql数据库操作**:熟悉SQL语句,如CREATE DATABASE、ALTER TABLE、DELETE和DROP命令,以及备份...
4.软件操作命令汇总 5.关于卸载 6.升级内容介绍 7.升级后的操作说明 8.附录 教程一 :部署网站 教程二 :将网站迁移数据盘 教程三 :将mysql迁移数据盘 教程四 :如何配置MYsql远程连接 教程五 :.HTACCESS伪链接