nginx
Nginx (engine x) 是一个高性能的HTTP和反向代理web服务器,同时也提供了IMAP/POP3/SMTP服务。Nginx是由伊戈尔·赛索耶夫为俄罗斯访问量第二的Rambler.ru站点(俄文:Рамблер)开发的,第一个公开版本0.1.0发布于2004年10月4日。其将源代码以类BSD许可证的形式发布,因它的稳定性、丰富的功能集、简单的配置文件和低系统资源的消耗而闻名。2011年6月1日,nginx 1.0.4发布。
Nginx是一款轻量级的Web 服务器/反向代理服务器及电子邮件(IMAP/POP3)代理服务器,在BSD-like 协议下发行。其特点是占有内存少,并发能力强,事实上nginx的并发能力在同类型的网页服务器中表现较好,中国大陆使用nginx网站用户有:百度、京东、新浪、网易、腾讯、淘宝等。
Nginx 是高性能的 HTTP 和反向代理的web服务器,处理高并发能力是十分强大的,能经受高负 载的考验,有报告表明能支持高达 50,000 个并发连接数。
Nginx支持热部署,启动简单,可以做到7*24不间断运行。几个月都不需要重新启动
nginx安全配置
在常规的网站维护中,每当网站遇到渗透测试、或者漏洞扫描器都会被暴出例如:nginx版本信息泄露、缺少“Content-Security-Policy”头、缺少“X-XSS-Protection”头、缺少“X-Content-Type-Options”头、X-Frame-Options未配置... 等相关安全问题,那么不管是作为安全人员也好,还是网站管理员运营也好,都要知道这些问题都是由于没有对nginx进行安全配置,并不是所谓的漏洞误报,当然身为安全人员肯定也要对以上安全配置问题有了解甚至能够独立配置,方便对客户系统进行安全加固
缺少“Content-Security-Policy”头
漏洞危害
“Content-Security-Policy”头主要是定义页面可以加载哪些资源,减少XSS的风险,缺少则可能会被恶意攻击者加载恶意信息,对网站造成损失
检测方法
抓包时查看响应包即可。
修复建议
启用“Content-Security-Policy”头
那么就在nginx中的nginx.conf 文件
phpstudy小皮路径
phpstudy_proExtensionsNginx1.15.11conf
http块
http块是Nginx服务器配置中的重要部分,代理、缓存、第三方模块的配置都放在这个模块。http块中可以包含多个server块,server块也可以包含多个location块。
那么就直接在http块进行配置加入
修复方案
配置“Content-Security-Policy”头
add_header Content-Security-Policy "default-src 'self'";#加 Content-Security-Policy头
然后重启nginx
再次检查"Content-Security-Policy”头
缺少“X-XSS-Protection”头
漏洞危害
缺少“X-XSS-Protection”头,可能会加大攻击者利用XSS对网站进行攻击,可能会导致不必要的损失
检测方法
抓包时查看响应包即可。
修复方案
启用“X-XSS-Protection”头
也还是在nginx.conf 文件 中的http块中添加
add_header X-XSS-Protection "1; mode=block";#加 X-XSS-Protection 头
重启nginx【切记添加之后后面不能有任何空格,不然会报错】
缺少“X-Content-Type-Options”头
漏洞危害
缺少“X-Content-Type-Options”头可能会造成恶意用户上传恶意文件,危害网站的安全
检测方法
抓包时查看响应包即可。
修复方案
启用“X-Content-Type-Options”头
也还是在nginx.conf 文件 中的http块中添加
add_header X-Content-Type-Options: nosniff;#加 X-Content-Type-Options 头
重启nginx
X-Frame-Options未配置
漏洞危害
如果服务器响应头信息中没有X-Frame-Options,则该网站存在ClickJacking攻击风险,网站可以通过设置 X-Frame-Options 阻止站点内的页面被其他页面嵌入从而防止点击劫持
检测方法
抓包时查看响应包即可。
修复方案
启用“X-Content-Type-Options”头
也还是在nginx.conf 文件 中的http块中添加
add_header X-Frame-Options SAMEORIGIN;#加 X-Frame-Options SAMEORIGIN 头
重启nginx
HTTP头信息泄露
漏洞危害
在服务器返回的HTTP头中泄露服务器信息
检测方法
在浏览器的调试窗或使用抓包拦截HTTP响应头、以及查看报错信息,查看响应数据包是否包含服务器相关信息。
修复方案
隐藏或者修改banner信息。
也还是在nginx.conf 文件 中的http块中添加
server_tokens off;#隐藏版本号
重启nginx
原文始发于微信公众号(漏洞404):ngixn安全配置
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论