2、是否限制可用的方法----------if ($request_method !~ ^(GET|HEAD|POST)$ ) {return 444; }在哪里配置?
---该段代码的作用是屏蔽非GET、HEAD或POST类型请求,返回XXX状态码。
根据作用范围,配置在server、location中都可以。
参考:
server {
listen 8083;
server_name localhost;
if ($request_method !~ ^(GET|HEAD|POST)$ )
{
return 403;
}
……
}
3、是否存在目录遍历 ----------没有autoindex参数是否合格?
---nginx默认autoindex为off,一般不需要配置。
ngx_http_autoindex_module配置参考:http://wiki.nginx.org/NginxChsHttpAutoindexModule
http://www.ctohome.com/FuWuQi/46/375.html
配置参考:
location ^~/ui/ {
root /netapp/applications/NetbWeb4;
expires max;
autoindex on;
autoindex_exact_size off;
autoindex_localtime on;
}
配置前访问效果
配置后访问效果
4、是否存在文件类型解析漏洞----------location 节点中无try_files $fastcgi_script_name = 404;是否合格?
---1)该漏洞应该是针对nginx解析php的,目前我们的应用没有使用php,并已在nginx配置中设有屏蔽,如下
location ~* \.(php|asp|aspx)$ {
rewrite ^(.*) http://172.19.67.1:8083/404.html redirect;
}
2)若应用中采用php,则可以采用以下方式解决
关闭cgi.fix_pathinfo为0
或者
if ( $fastcgi_script_name ~ \..*\/.*php ) {
return 403;
}
参考:http://www.80sec.com/nginx-securit.html
- 大小: 61.2 KB
- 大小: 209.9 KB
分享到:
相关推荐
有关nginx配置文件的语法的信息,请参阅官方文档(特别是《入门指南》)。 如果您希望采用默认配置,请使用以下类似内容从运行的nginx容器中复制它: $ docker run --name tmp-nginx-container -d nginx $ ...
nginx出现这个问题的原因是请求实体太长了。一般出现种情况是Post请求时Body内容Post的数据太大了,如上传大文件过大、POST数据比较多。处理方法 在nginx.conf增加 client_max_body_size的相关设置, 这个值默认是1m...
1.多个server的优先级 ... ...(通配符在前) ③server_name为 pm.* 的区块。(通配符在后) ... ⑤如果都没有匹配到,将...⑥如果没有第5项,则选择第一个配置文件的第一个server区块。 访问域名www.pm.com就是优先选择上面
4.软件操作命令汇总 5.关于卸载 6.升级内容介绍 7.升级后的操作说明 8.附录 教程一 :部署网站 教程二 :将网站迁移数据盘 教程三 :将mysql迁移数据盘 教程四 :如何配置MYsql远程连接 教程五 :.HTACCESS伪链接
本资源汇总了UOS运维系统运维工程师的相关知识点,涵盖了NFS服务器配置、聚合函数、Ansible、Apache服务器配置、sshd配置、KVM虚拟机、DNS、系统默认端口号、Ansible模板文件语法、ftp匿名登录、Apache主配置文件、...
程序员5个刷题网站 Java企业级电商项目演进——Tomcat集群和Redis分布式 在基础上进行演进,主要涉及...项目中遇到问题汇总 +- pom.xml // pom Maven依赖 +- README.md // readme文件 +- src +- main +- j
什么是 Docker Docker 对我们有什么用处 Docker 安装和使用 镜像相关 容器相关 数据管理 网络配置 Dockerfile 在 Docker 下安装常见的软件(Tomcat、Nginx、Redis、MongoDB 等) 使用中一些常见问题汇总
古怪问题汇总 代码片段 图片预处理 mvvm 实现 dom 操作封装 剪切板操纵 mocha 在浏览器中测试 es6 代码 监听用户离开页面 监听页面是否可见 gulp 配置 kafka clickhouse elasticsearch mysql linux nginx rsyslog ...
使用Ansible,贡献者可以以可执行文件和标准格式汇总和记录最佳实践和参考资料。 Nodesuite允许导入和管理与Nodesuite项目分离的私有gitignored配置目录。 这使Nodesuite用户可以利用功能的共享核心,同时保持操作...
高级java笔试题 无意间看到了 docsify,感觉逼格很高,阅读体验也不错,于是本库启用了 docsify;目录更新随意,考虑 Actions 中 欢迎预览: ...Nginx配置相关问题.md │ ├── NoClassDefFoundError-java
rss-firehose 将本地RSS提要聚合到一个轻量级页面中。 示例页面: : 渲染图: 渲染页面: ruby render.rb ...码头工人 使用nginx在端口8080上服务: ...可以在Docker运行时配置可选设置,或者在本地Ruby环
各个子系统前台thymeleaf模板,前端资源模块,使用nginx代理,实现动静分离。 > zheng-upms 本系统是基于RBAC授权和基于用户授权的细粒度权限控制通用平台,并提供单点登录、会话管理和日志管理。接入的系统可自由...
JavaEE学习路线(文章总汇) JavaEE学习日志(七十八)LinuxLinux安装jdkLinux安装MySQLLinux安装tomcatLinux安装RedisLinux部署商城项目Linux数据库的中文乱码问题 Linux Linux安装jdk 首先卸载Linux自带的jdk 查看...
CentOS 下,PHP有多种方式来安装扩展, 主要有 包管理式 ...Nginx : 1.10.2 VMware版本号 : 12.0.0 CentOS版本 : 7.0 一、yum 安装 yum 方式 安装能自动安装扩展的.so动态库,并配置好 php.ini 注: 请确保自己 yum
系统框架的优劣势,以及框架下各模块的合理配置优化建议 上面这条好高大上,要完成这样任务的门槛也不低,我们来看下: 编程语言:Java,C,C#,C++,PHP,你不知道以后的工作他们哪个会出现在你的视线中..... Java...
11 关于负载均衡下面说法错误的是( ) 单个重负载的运算分担到多台节点设备上做并行处理,每个节点设备处理结束后,将结果汇总,返回给用户,系统处理能力得到大幅度提高 大量的并发访问或数据流量分担到多台节点...
Nginx 基础命令和部署服务与页面的配置 布局样式 从 Element UI 的 Theme 源码来看命名规范 BEM 的应用 使用 BEM 命名思想来组织和描述更加清晰的结构 构建工程 GitLab 内部团队协作的使用步骤记录 前端工程自动化,...
这种方法可以汇总每个项目(Chromium,SVG / HTML5,PHP,Lua,SQLite,Inkscape,OpenDNP3,Nginx,Vega,PostgreSQL,Grafana等)的力量,以实现大量的开放,常绿,模块化和可定制的工具,用于为自动化项目构建...
Tsar(淘宝系统活动报告器)是一个监视工具,可用于收集和汇总系统信息,例如CPU,负载,IO和应用程序信息(例如nginx,HAProxy,Squid等)。结果可以存储在本地磁盘或发送到Nagios。可以通过编写模块轻松扩展Tsar,...
Tsar(淘宝系统活动报告器)是一个监视工具,可用于收集和汇总系统信息,例如CPU,负载,IO和应用程序信息(例如nginx,HAProxy,Squid等)。结果可以存储在本地磁盘或发送到Nagios。可以通过编写模块轻松扩展Tsar,...