ngixn安全配置

admin 2024年2月10日20:34:08评论9 views字数 2176阅读7分15秒阅读模式

nginx

Nginx (engine x) 是一个高性能的HTTP和反向代理web服务器,同时也提供了IMAP/POP3/SMTP服务。Nginx是由伊戈尔·赛索耶夫为俄罗斯访问量第二的Rambler.ru站点(俄文:Рамблер)开发的,第一个公开版本0.1.0发布于2004年10月4日。其将源代码以类BSD许可证的形式发布,因它的稳定性、丰富的功能集、简单的配置文件和低系统资源的消耗而闻名。2011年6月1日,nginx 1.0.4发布。

Nginx是一款轻量级的Web 服务器/反向代理服务器及电子邮件(IMAP/POP3)代理服务器,在BSD-like 协议下发行。其特点是占有内存少,并发能力强,事实上nginx的并发能力在同类型的网页服务器中表现较好,中国大陆使用nginx网站用户有:百度、京东、新浪、网易、腾讯、淘宝等。

Nginx 是高性能的 HTTP 和反向代理的web服务器,处理高并发能力是十分强大的,能经受高负 载的考验,有报告表明能支持高达 50,000 个并发连接数。

Nginx支持热部署,启动简单,可以做到7*24不间断运行。几个月都不需要重新启动

ngixn安全配置

nginx安全配置

在常规的网站维护中,每当网站遇到渗透测试、或者漏洞扫描器都会被暴出例如:nginx版本信息泄露、缺少“Content-Security-Policy”头、缺少“X-XSS-Protection”头、缺少“X-Content-Type-Options”头、X-Frame-Options未配置... 等相关安全问题,那么不管是作为安全人员也好,还是网站管理员运营也好,都要知道这些问题都是由于没有对nginx进行安全配置,并不是所谓的漏洞误报,当然身为安全人员肯定也要对以上安全配置问题有了解甚至能够独立配置,方便对客户系统进行安全加固

缺少“Content-Security-Policy”头

漏洞危害

 “Content-Security-Policy”头主要是定义页面可以加载哪些资源,减少XSS的风险,缺少则可能会被恶意攻击者加载恶意信息,对网站造成损失

检测方法

 抓包时查看响应包即可。

ngixn安全配置

修复建议

 启用“Content-Security-Policy”头

 那么就在nginx中的nginx.conf 文件 

phpstudy小皮路径

phpstudy_proExtensionsNginx1.15.11conf
ngixn安全配置

http块

http块是Nginx服务器配置中的重要部分,代理、缓存、第三方模块的配置都放在这个模块。http块中可以包含多个server块,server块也可以包含多个location块。

那么就直接在http块进行配置加入

修复方案

配置“Content-Security-Policy”头

add_header Content-Security-Policy "default-src 'self'";#加 Content-Security-Policy头
ngixn安全配置

然后重启nginx

ngixn安全配置

再次检查"Content-Security-Policy”头

ngixn安全配置

缺少“X-XSS-Protection”头

漏洞危害

   缺少“X-XSS-Protection”头,可能会加大攻击者利用XSS对网站进行攻击,可能会导致不必要的损失

检测方法

 抓包时查看响应包即可。

ngixn安全配置

修复方案

启用“X-XSS-Protection”头

也还是在nginx.conf 文件 中的http块中添加

add_header X-XSS-Protection "1; mode=block";#加 X-XSS-Protection 头
ngixn安全配置

重启nginx【切记添加之后后面不能有任何空格,不然会报错】

ngixn安全配置

缺少“X-Content-Type-Options”头

漏洞危害

   缺少“X-Content-Type-Options”头可能会造成恶意用户上传恶意文件,危害网站的安全

检测方法

 抓包时查看响应包即可。

ngixn安全配置

修复方案

启用“X-Content-Type-Options”头

 也还是在nginx.conf 文件 中的http块中添加

add_header X-Content-Type-Options: nosniff;#加 X-Content-Type-Options 头
ngixn安全配置

重启nginx

ngixn安全配置

X-Frame-Options未配置

漏洞危害

   如果服务器响应头信息中没有X-Frame-Options,则该网站存在ClickJacking攻击风险,网站可以通过设置 X-Frame-Options 阻止站点内的页面被其他页面嵌入从而防止点击劫持

检测方法

 抓包时查看响应包即可。

ngixn安全配置

修复方案

启用“X-Content-Type-Options”头

也还是在nginx.conf 文件 中的http块中添加

add_header X-Frame-Options SAMEORIGIN;#加 X-Frame-Options SAMEORIGIN 头
ngixn安全配置

重启nginx

ngixn安全配置

HTTP头信息泄露

漏洞危害

   在服务器返回的HTTP头中泄露服务器信息

检测方法

 在浏览器的调试窗或使用抓包拦截HTTP响应头、以及查看报错信息,查看响应数据包是否包含服务器相关信息。

ngixn安全配置

修复方案

隐藏或者修改banner信息。

也还是在nginx.conf 文件 中的http块中添加

server_tokens off;#隐藏版本号
ngixn安全配置

重启nginx

ngixn安全配置

原文始发于微信公众号(漏洞404):ngixn安全配置

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年2月10日20:34:08
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   ngixn安全配置https://cn-sec.com/archives/2207323.html

发表评论

匿名网友 填写信息