滲透測試基礎知識---nginx安全配置
nginx安全配置
-
隱藏版本號
`http { server_tokens off;}`
-
開啟HTTPS
server {
listen 443;
server_name xxx.com;
ssl on;
ssl_certificate /etc/nginx/certs/xxx.com.pem;
ssl_certificate_key /etc/nginx/certs/xx.com.key;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers HIGH:!aNULL:!MD5;
}
-
ssl on:開啟https -
ssl_certificate:配置nginx ssl證書的路徑 -
ssl_certificate_key:配置nginx ssl證書key的路徑 -
ssl_protocols:指定客戶端建立連線時使用的ssl協議版本,如果不需要相容TSLv1,直接去掉即可 -
ssl_ciphers:指定客戶端連線時所使用的加密演算法,你可以在這裡配置更高安全的演算法 -
-
黑白名單配置 -
-
白名單配置
`location /admin/ { allow 192.168.1.0/24; deny all;}`
-
黑名單配置
`location /uploads/ { deny 192.168.1.0/24; allow all;}`
`set $allow false;if ($http_x_forwarded_for = "211.144.204.2") { set $allow true; }if ($http_x_forwarded_for ~ "108.2.66.[89]") { set $allow true; }if ($allow = false) { return 404; }`
-
賬號認證
server {
location / {
auth_basic "please input user&passwd";
auth_basic_user_file key/auth.key;
}
}
-
-
限制請求方法 -
-
server 塊配置
if ($request_method !~ ^(GET|POST)$ ) {
return 405;
}
-
或者
location / {
limit_except GET HEAD POST { deny all; }
}
-
拒絕User-Agent
if ($http_user_agent ~* LWP::Simple|BBBike|wget|curl) {
return 444;
}
-
圖片防盜鏈
location /images/ {
valid_referers none blocked xx.com;
if ($invalid_referer) {
return 403;
}
}
location /images/ {
valid_referers blocked xx.com
if ($invalid_referer) {
rewrite ^/images/.*.(gif|jpg|jpeg|png)$ /static/qrcode.jpg last;
}
}
-
控制併發連線數
http {
limit_conn_zone $binary_remote_addr zone=ops:10m;
server {
listen 80;
server_name xx.com;
root /home/project/webapp;
index index.html;
location / {
limit_conn ops 10;
}
access_log /var/log/nginx/nginx_access.log main;
}
}
limit_conn_zone
:設定儲存各個鍵(例如$binary_remote_addr)狀態的共享記憶體空間的引數,zone=空間名字:大小大小的計算與變數有關limit_conn
:
指定一塊已經設定的共享記憶體空間
(例如name為ops的空間),以及每個給定鍵值的最大連線數-
緩衝區溢位攻擊
client_body_buffer_size 1K;
client_header_buffer_size 1k;
client_max_body_size 1k;
large_client_header_buffers 2 1k;
-
-
Header頭設定
add_header X-Frame-Options "SAMEORIGIN";
add_header X-XSS-Protection "1; mode=block";
add_header X-Content-Type-Options "nosniff";
-
禁止訪問 htaccess
location ~/\.ht {
deny all;
}
-
禁止訪問多個目錄
location ~ ^/(picture|move)/ {
deny all;
break;
}
-
禁止訪問 /data 開頭的檔案
location ~ ^/data {
deny all;
}
-
禁止訪問單個目錄
location /imxhy/images/ {
deny all;
}
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/70006652/viewspace-2886036/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 滲透測試基礎知識----MySQL 配置MySql
- 滲透測試基礎知識---mysql配置檔案詳解MySql
- 網站安全公司 滲透測試基礎知識點大全網站
- 軟體滲透測試基礎知識分享,可做滲透測試的軟體檢測公司有哪些?
- 物理滲透測試基礎
- 滲透測試網站安全基礎點講解網站
- 滲透測試(PenTest)基礎指南
- 內網滲透測試基礎內網
- WEB網路滲透的基礎知識Web
- metasploit 滲透測試筆記(基礎篇)筆記
- 滲透測試基礎--內網轉發內網
- Nginx基礎知識Nginx
- 網路安全滲透測試
- SSL基礎知識及Nginx/Tomcat配置SSLNginxTomcat
- 【1】測試基礎知識
- Web測試基礎-Html基礎知識WebHTML
- 15道基礎滲透測試面試題,附答案!面試題
- 網路安全滲透測試的型別!滲透測試入門教程型別
- 軟體測試基礎知識
- 介面測試之基礎知識
- 介面測試--基礎小知識
- 網路安全基礎入門_滲透測試包括哪五個階段?
- 滲透測試可能遇到哪些訊息頭?網路安全基礎學習
- 安全測試和滲透測試的區別
- 網站滲透測試安全檢測漏洞網站
- 網站滲透測試安全檢測方案網站
- 滲透測試系統kali配置源
- 外部網路滲透測試是什麼意思?網路安全基礎入門
- 滲透測試工具方法基礎程式碼審計篇
- 網站安全測試之APP滲透測試漏洞網站APP
- 效能測試基礎知識體系
- 滲透測試會用到哪些工具?滲透測試教程
- 效能測試必備基礎知識(二)
- 軟體效能測試基礎知識分享
- Linux滲透測試Linux
- 滲透測試 網站安全測試行業問題分析網站行業
- 滲透測試對app安全測試實戰過程分享APP
- 滲透測試與自動化安全測試工具比較