`
阅读更多
2、是否限制可用的方法----------if ($request_method !~ ^(GET|HEAD|POST)$ ) {return 444; }在哪里配置?
---该段代码的作用是屏蔽非GET、HEAD或POST类型请求,返回XXX状态码。
     根据作用范围,配置在server、location中都可以。
     参考:
   server {
       listen  8083;
       server_name  localhost;
        if ($request_method !~ ^(GET|HEAD|POST)$ )
        {
            return 403;
       }
   ……
          }

3、是否存在目录遍历 ----------没有autoindex参数是否合格?
---nginx默认autoindex为off,一般不需要配置。
      ngx_http_autoindex_module配置参考:http://wiki.nginx.org/NginxChsHttpAutoindexModule
http://www.ctohome.com/FuWuQi/46/375.html
      配置参考:
      location ^~/ui/ {
            root   /netapp/applications/NetbWeb4;
            expires max;
            autoindex on;
            autoindex_exact_size off;
            autoindex_localtime on;
        }

配置前访问效果



配置后访问效果





4、是否存在文件类型解析漏洞----------location 节点中无try_files $fastcgi_script_name = 404;是否合格?
---1)该漏洞应该是针对nginx解析php的,目前我们的应用没有使用php,并已在nginx配置中设有屏蔽,如下
location ~* \.(php|asp|aspx)$ {
    rewrite ^(.*) http://172.19.67.1:8083/404.html redirect;
      }
   2)若应用中采用php,则可以采用以下方式解决
       关闭cgi.fix_pathinfo为0
      或者
       if ( $fastcgi_script_name ~ \..*\/.*php ) {
           return 403;
       }
     参考:http://www.80sec.com/nginx-securit.html
  • 大小: 61.2 KB
  • 大小: 209.9 KB
分享到:
评论

相关推荐

    Python运维自动化之nginx配置文件对比操作示例

    在运维自动化领域,使用Python进行nginx配置文件的对比是一项非常实用的技能。nginx是一个高性能的HTTP和反向代理服务器,也是IMAP/POP3/SMTP服务器,广泛用于负载均衡、静态内容服务等场景。随着服务部署的增多,...

    nginx汇总整理及安装包.rar

    Nginx 的核心配置文件是 `/etc/nginx/nginx.conf`(Linux)或 `nginx.conf`(Windows),通过修改此文件可以配置服务器的各项参数。基本结构包括全局块、events 块、http 块、server 块和 location 块。例如,创建一...

    nginx-1.12.2安装.docx

    #### 一、安装问题汇总 **问题1:执行./configure检查报错** ``` ./configure:error:theHTTPrewritemodulerequiresthePCRElibrary. Youcaneitherdisablethemodulebyusing--without-http_rewrite_module option,...

    nginx(1-9-8).syno.tar官方镜像

    有关nginx配置文件的语法的信息,请参阅官方文档(特别是《入门指南》)。 如果您希望采用默认配置,请使用以下类似内容从运行的nginx容器中复制它: $ docker run --name tmp-nginx-container -d nginx $ ...

    基于ELK的nginx-qps监控解决方案.docx

    我们可以在Nginx配置文件中添加以下代码: ``` log_format json '{"@timestamp":"$time_iso8601","@version":"1","server_addr":"$server_addr","remote_addr":"$remote_addr","host":"$host","uri":"$uri","body_...

    多线程自定义规则 Nginx Access Log 分析器(比AWK快)

    Nginx作为一款高性能的HTTP和反向代理服务器,其Access Log记录了所有客户端请求的详细信息,是进行系统监控和问题排查的重要资源。在传统的日志分析中,AWK经常被用作工具来处理和解析这些日志,但当面对大量数据时...

    2019年BATJ最新面试414道题(含答案解析)Nginx篇.pdf

    stub_status指令提供了关于Nginx工作状态的简单汇总,包括当前的活动连接数、连接处理情况等。sub_filter指令则用于替换响应中的文本内容,可以用于实现动态内容的静态化。 Nginx支持将请求压缩到上游,这可以减少...

    淘宝网Nginx应用、定制与开发实战.pdf[书签版]

    ngx_lua允许将Lua脚本嵌入到Nginx配置中,而ngx_drizzle模块则是用于数据库连接池的管理。最后,介绍了如何将ngx_lua和ngx_drizzle结合在一起,以实现更加高效和灵活的Web应用。 当前工作部分讨论了淘宝即将发布的...

    Nginx 34 道面试题及答案.docx

    Nginx 基础知识点汇总 Nginx 是一个跨平台、配置简单、方向代理、高并发连接的服务器,可以处理 2-3 万并发连接数,官方监测能支持 5 万并发,内存消耗小,开启 10 个 Nginx 才占 150M 内存。Nginx 处理静态文件好...

    Nginx常用技巧使用实例汇总

    在Nginx配置中,多个`server`块监听同一端口时,匹配顺序有特定规则。首先,会尝试匹配`server_name`完全一致的区块,接着是通配符匹配,如`*.pm.com`,然后是正则表达式匹配。如果没有匹配到任何规则,将会匹配到`...

    CentOS 系统配置 (各种服务配置 软件安装 )汇总

    【标题】:CentOS系统配置(各种服务配置、软件安装)汇总 【正文】: 本文档将详细探讨在CentOS操作系统上进行系统配置、服务设置和软件安装的关键知识点。CentOS是一个基于Red Hat Enterprise Linux的开源操作...

    Linux运维工程师面试常见问题汇总.pdf

    3. **多网站部署与访问**:在虚拟主机上通过Apache或Nginx配置多个域名和站点,理解端口、别名和SSL证书的配置。 4. **Mysql操作**:掌握基本的SQL语句,如CREATE DATABASE、ALTER TABLE、DELETE FROM等,以及备份...

    nginx、Apache、IIS服务器解决 413 Request Entity Too Large问题方法汇总

    nginx出现这个问题的原因是请求实体太长了。一般出现种情况是Post请求时Body内容Post的数据太大了,如上传大文件过大、POST数据比较多。处理方法 在nginx.conf增加 client_max_body_size的相关设置, 这个值默认是1m...

    linux的各种服务器架设总汇

    Nginx配置文件通常位于/etc/nginx/nginx.conf,需要设置的参数包括监听端口、服务器块配置、location块配置等。 7. Linux服务器配置的细节: 文档中还提到了一些关于Linux服务器配置的细节,例如配置文件中的注释、...

    Linux运维工程师面试常见问题汇总.docx

    3. **多网站部署与访问**:在虚拟主机环境下,如何配置Apache或Nginx实现多个网站的绑定、SSL证书和负载均衡。 4. **Mysql数据库操作**:熟悉SQL语句,如CREATE DATABASE、ALTER TABLE、DELETE和DROP命令,以及备份...

    CentOS-Nginx-Apache-PHP-MySQL 镜像使用帮助文档

    4.软件操作命令汇总 5.关于卸载 6.升级内容介绍 7.升级后的操作说明 8.附录 教程一 :部署网站 教程二 :将网站迁移数据盘 教程三 :将mysql迁移数据盘 教程四 :如何配置MYsql远程连接 教程五 :.HTACCESS伪链接

Global site tag (gtag.js) - Google Analytics