網站漏洞該如何修復 加強伺服器的安全防護
伺服器的安全防護中,網站環境的搭建與安全部署也是很重要的一部分,目前大多數的伺服器都使用的是nginx來搭建網站的執行環境,包括windows伺服器,linux伺服器都在使用,nginx的安全設定對於伺服器安全起到很重要的作用。關於如何設定nginx安全,以及伺服器的安全部署,我們SINE安全公司來詳細的給大家介紹一下:
大部分的網站使用nginx來做負載均衡以及前端的80埠程式碼來進行靜態html檔案的訪問,nginx的安全設定如果沒有設定好會導致伺服器安全出現問題,可能會導致伺服器被入侵,以及網站被攻擊。
nginx 在linux centos系統裡,使用的是nginx.conf的格式檔案來作為網站的配置檔案,裡面的配置主要是繫結域名,以及埠,指定到網站的目錄地址,偽靜態規則,看下圖:
從上圖的配置檔案中,我們可以看出,nginx的內部結構很清晰,每一行程式碼都寫的很精簡,針對的功能也是唯一的,每個程式碼對應的指令以及作用劃分的很仔細,其中server就是我們IIS配置的host地址,比如域名以及IP地址,在server的程式碼裡寫入埠,可以將網站設定成埠形式的訪問。現在我們大體的瞭解了什麼nginx,那麼nginx設定不全面,會導致那些漏洞呢?
最常見的就是網站目錄可以被任意的檢視,也就是網站目錄遍歷漏洞,這個簡單來說就是如果伺服器裡有很多網站,隨便一個網站被攻擊,都會導致伺服器裡的全部網站被攻擊,因為可以跨目錄的檢視任意網站的程式程式碼。通常導致該漏洞的原因是在配置nginx的時候,有些伺服器運維人員會將autoindex on;程式碼寫入到server行裡,導致發生目錄遍歷漏洞。如下圖就是目錄可以被任意的瀏覽,包括網站裡包含了那些程式碼,都看的一清二楚。
nginx設定導致的URL注入漏洞,伺服器裡的網站在使用SSL證照,啟用443埠訪問網站,nginx會自動代理,並載入SSL證照,有些會設定nginx強制的跳轉到https網站,使用302的協議進行強制跳轉,如果技術人員設定成return 302 ,會導致網站存在SQL隱碼攻擊漏洞,$uri變數值的含義是:請求檔案以及網站的路徑,當nginx環境進行傳遞引數值的時候,可以插入惡意程式碼到網站中執行,並提交到資料庫後端進行sql查詢,注入漏洞就因此而發生,建議伺服器的運維人員不要對此進行設定。
關於nginx的安全設定方面,伺服器的維護人員儘量嚴格的進行設定,對目錄的瀏覽許可權詳細的分配,對https協議訪問的網站也要加強302的強制跳轉引數設定,如果您對伺服器安全防護方面不是太懂的話,也可以找專業的安全公司處理,國內SINE安全,綠盟,深信服,都是比較不錯的安全公司。
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/31542418/viewspace-2644299/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 網站安全防護-PHP反序列化漏洞修復網站PHP
- PrestaShop網站漏洞修復如何修復REST網站
- 框架網站漏洞修復防護方法框架網站
- 網站被黑該怎麼修復漏洞網站
- 網站被攻擊 該如何做好網站的安全防護?網站
- 網站被攻擊 如何修復網站漏洞網站
- 網站存在漏洞怎麼修復 如何修補網站程式程式碼漏洞網站
- 我的網站被黑了,該如何排除漏洞並修復安全問題網站
- 怎麼修復網站漏洞騎士cms的漏洞修復方案網站
- 網站漏洞修復 上傳webshell漏洞修補網站Webshell
- ecshop漏洞修復以及如何加固ecshop網站安全網站
- 網站漏洞修復SQL隱碼攻擊防護辦法網站SQL
- thinkcmf 網站最新漏洞修復方法網站
- 如何對網站登入進行漏洞測試以及漏洞修復網站
- 恆訊科技:如何做好網站伺服器安全防護呢?網站伺服器
- WordPress網站漏洞利用及漏洞修復解決方案網站
- 網站漏洞檢測對漏洞檢測修復方案網站
- 網站漏洞修復之Metinfo 檔案上傳漏洞網站
- struts2架構網站漏洞修復詳情與利用漏洞修復方案架構網站
- apache網站漏洞修復解決辦法Apache網站
- 網站漏洞修復之圖片驗證碼的詳細修復方案網站
- 網站漏洞處理修復服務之lankecms篡改漏洞網站
- 網站存在漏洞該如何解決網站
- 從滲透測試到漏洞掃描 看我們如何對網站做安全防護網站
- 網站漏洞修復服務商關於越權漏洞分析網站
- APP資料洩露漏洞該如何修復和加固APP
- 金融網站伺服器安全防護加固標準要求分析網站伺服器
- 網站漏洞修補之ECshop4.0跨站指令碼攻擊修復網站指令碼
- 網站漏洞測試php程式碼修復詳情網站PHP
- 網站程式碼漏洞審計挖掘與修復方法網站
- 網站漏洞測試 檔案上傳漏洞的安全滲透與修復網站
- 網站漏洞修復服務商對繞過認證漏洞的探討網站
- 如何進行伺服器的安全防護?伺服器
- 怎麼修復網站漏洞之metinfo遠端SQL隱碼攻擊漏洞修補網站SQL
- 雲伺服器修復apache漏洞伺服器Apache
- 護網漏洞復現(三)
- 網站安全服務公司如何開展安全防護工作網站
- 區塊鏈app安全防護 滲透測試中發現的越權漏洞分析與修復區塊鏈APP