Nginx详解,漏洞复现,基线检查

最新推荐文章于 2025-07-01 09:58:13 发布
最新推荐文章于 2025-07-01 09:58:13 发布
阅读量1.9k 收藏 21
点赞数 48
CC 4.0 BY-SA版权
文章标签: nginx 运维 中间件 系统安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_66934029/article/details/144972500

目录:

  • Nginx服务器
    • 一、 正向代理和反向代理
      • 1、 正向代理
      • 2、 反向代理
    • 二、CentOS 7 中 Nginx 的安装
      • 1、 Nginx相关命令
    • 三、Nginx访问控制
    • 四、设置虚拟主机
      • 1、通过端口设置
      • 2、通过域名设置

Nginx服务器👀

一、 正向代理和反向代理

1、 正向代理

我们常说的代理也就是只正向代理,正向代理的过程,它隐藏了真实的请求客户端,服务端不知道 真实的客户端是谁,客户端请求的服务都被代理服务器代替来请求,某些科学上网工具扮演的就是典型 的正向代理角色。用浏览器访问http://www.google.com时,被残忍的block,于是你可以在国外搭建一 台代理服务器,让代理帮你去请求google.com,代理把请求返回的相应结构再返回给你。

2、 反向代理👀

反向代理隐藏了真实的服务端,当我们请求www.baidu.com的时候,背后可能有成千上万台服务器 为我们服务,但具体是哪一台,你不知道,也不需要知道,你只需要知道反向代理服务器是谁就好了, www.baidu.com就是我们的反向代理服务器,反向代理服务器会帮我们把请求转发到真实的服务器那里 去。Nginx就是性能非常好的反向代理服务器,用来做负载均衡

二、CentOS 7 中 Nginx 的安装👀

yum -y install epel-release    #安装epelx

yum info nginx                      #查看yum源中的nignx的信息

yum install nginx                  #开始安装nginx

1、 Nginx相关命令

nginx -s reopen    #重启Nginx

nginx -s reload     #重新加载Nginx配置文件,然后以优雅的方式重启Nginx

nginx -s stop        #强制停止Nginx服务

nginx -s quit         #优雅地停止Nginx服务(即处理完所有请求后再停止服务)

nginx -t                #检测配置文件是否有语法错误,然后退出

nginx -v                #显示版本信息并退出 killall

nginx                    #启动nginx

killall nginx           #杀死所有nginx进程

三、Nginx访问控制👀

location = :精准匹配,只有访问的内容和 = 后面的完全一致才会匹配

location = :前缀匹配,匹配URL的开头部分,如设置的是location /test的话,那么会匹配到http://IP/test、http://IP/test1、http://IP/test/123.html所以给目录设置访问控制的时候要注意在目录后面加 /

#禁止/test/index.html的所有访问

location =

最低0.47元/天 解锁文章

200万优质内容无限畅学
✘283
关注
Nginx 解析漏洞复现
天天学安全专属博客
07-18 1269
Nginx 解析漏洞复现
Nginx 解析漏洞复现及利用
Tauil的博客
07-20 8206
Nginx解析漏洞解析漏洞是PHPCGI的漏洞,在PHP的配置文件中有一个关键的选项cgi.fix_pathinfo默认开启,当URL中有不存在的文件,PHP就会向前递归解析在一个文件路径(/xx.jpg)后面加上/xx.php会将/xx.jpg解析为php文件。来上传我们的文件,很显然,不给上传,东西写进去文件被破坏了,被检验出不是正常的jpg不能上传了,可能有些朋友就成功了,因为第一次的时候我是可以的,现在应该是写的内容太多了,出了问题。phpeval($_POST["cmd"]);...
nginx漏洞
scu_hacker博客
01-18 6592
目录 一、目录遍历漏洞 二、CRLF注入漏洞 2.1 影响范围 2.2 漏洞详情 三、目录穿越漏洞 3.1 漏洞详情 一、目录遍历漏洞 原因:配置不当。 若将/usr/local/nginx/conf/nginx.conf里的autoindex off改为autoindex on,那么就可以直接访问到网站根目录下的所有文件, 然后在网站根目录下新建test文件夹,直接访问,可以访问到test文件 二、CRLF注入漏洞 2.1 影响范围 nginx + php5.2.
nginx常见漏洞解析
qtttgeq的博客
04-06 1万+
0×1HTTP返回包头:就是httpresponsHTTP返回包体:就是请求的具体文件,例如出来个网页资源,网页内嵌套的内容等等。content-range是什么?range是什么?存在于HTTP请求头中,表示请求目标资源的部分内容,例如请求一个图片的前半部分,单位是byte,原则上从0开始,但今天介绍的是可以设置为负数。range的典型应用场景例如:断点续传、分批请求资源。content-range的表达方式:Range:bytes=0-1024 表示访问第0到第1024字节;
Nginx Web安全漏洞问题解决:Web服务器HTTP头信息公开以及Web服务器错误页面信息泄露
2401_85688943的博客
07-01 708
这些配置文件的路径取决于nginx的配置,可能位于/etc/nginx目录下,也可能位于其他的目录下,可以通过搜索的方式查找。👉2.网安入门到进阶视频教程👈 很多朋友都不喜欢晦涩的文字,我也为大家准备了视频教程,其中一共有21个章节,每个章节都是当前板块的精华浓缩。1、每个漏洞的个数有四个,就是对应漏洞详情中的4个端口 2、产品使用Nginx提供的服务,Nginx通过虚拟机方式以不同端口提供服务。👉1.成长路线图&学习规划👈 要学习一门新的技术,作为新手一定要先学习成长路线图,方向不对,努力白费。
Nginx 解析漏洞
来日可期的博客
09-09 5221
Nginx空字节漏洞Nginx 解析漏洞复现Nginx 文件名逻辑漏洞(CVE-2013-4547)漏洞复现合集
Nginx解析漏洞复现
热门推荐
钟言的博客
01-28 1万+
本篇为Nginx解析漏洞复现,详细内容包含了搭建环境 复现过程 漏洞原理及防范同时包含了配置过程中出现的问题以及解决方案等等。
网络安全03---Nginx 解析漏洞复现
m0_68976043的博客
01-27 816
ubentu虚拟机,docker环境,vulhub-master环境包(资源已上传)
nginx文件解析漏洞
大方子
07-27 4144
文件解析漏洞 目标环境 win2003(x64) PHPstudy2016 nginx 复现过程 先写一个上传的网页 upload.html <!DOCTYPE html> <html> <head> <title>File Upload</title> </head&g...
Nginx解析漏洞测试
09-19
Nginx是一款高性能的web服务器,使用非常广泛,其不仅经常被用作反向代理,也可以非常好的支持PHP的运行。默认情况下可能导致服务器错误的将任何类型的文件以PHP的方式进行解析,这将导致严重的安全问题,使得恶意的攻击者可能攻陷支持php的nginx服务器。
Nginx漏洞总结
m0_67391518的博客
08-02 7305
Nginx(enginex)是一个高性能的HTTP和反向代理web服务器,同时也提供了IMAP/POP3/SMTP服务。其将源代码以类BSD许可证的形式发布,因它的稳定性、丰富的功能集、简单的配置文件和低系统资源的消耗而闻名。2011年6月1日,nginx1.0.4发布。Nginx是一款轻量级的Web服务器/反向代理服务器及电子邮件(IMAP/POP3)代理服务器,在BSD-like协议下发行。...
NGINX漏洞 整理记录
04-06 6570
简单介绍NGINX: Nginx是一款轻量级的Web服务器/反向代理服务器及电子邮件(IMAP/POP3)代理服务器,在BSD-like 协议下发行。 其特点是占有内存少,并发能力强,nginx的并发能力在同类型的网页服务器中表现较好。主要应用在百度,淘宝等高并发请求情形。 漏洞: 1.NGINX解析漏洞 (1)Nginx文件名逻辑漏洞(CVE-2013-4547) 影响版本:Nginx0.8.41~1.4.3 / 1.5.0~1.5.7 漏洞原理:主要原因是nginx错误的..
Nginx文件解析漏洞
weixin_59872639的博客
02-23 5065
环境搭建 配置方法 安装docker yum -y install docker 启动docker systemctl start docker 使用docker拉取ubuntu:14.04.5镜像 docker pull ubuntu:14.04.5 使用docker启动镜像 ubuntu:14.04.5 docker run -d -it -p 本机端口:80 ubuntu:14.04.5 安装相关环境 apt-get update # 更新源 apt-get insta
Nginx解析漏洞
qq_43665434的博客
05-20 1133
Nginx解析漏洞 漏洞原理:传送门 实验环境 主机 角色 IP centos8 漏洞靶机 192.168.1.80 windows10 攻击机 192.168.1.120 实验流程 开启漏洞环境centos8 service docker start cd /usr/sbin/vulhub/nginx/nginx_parsing_vulnerability/ docker-compose build docker-compose up -d cat docker-compose
中间件安全—Nginx常见漏洞
剁椒鱼头没剁椒的博客
02-21 5386
在上篇中间件安全—Apache常见漏洞中,并未对中间件漏洞进行解释,这里补充一下。
Nginx最新漏洞复现
最新发布
07-25
嗯,用户这次的问题是关于Nginx最新漏洞复现的步骤和测试方法,看来ta对网络安全很感兴趣,可能是安全工程师或渗透测试人员。从之前的对话看,用户已经研究过Nginx的目录穿越漏洞(CVE-2013-4547)和文件解析漏洞,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值