国产 无码 综合区,色欲AV无码国产永久播放,无码天堂亚洲国产AV,国产日韩欧美女同一区二区

  1. Toy模板網(wǎng)首頁(yè)
  2. >Toy博客

Nginx目錄穿越漏洞

2年前作者:故?淵??゜分類:Toy博客閱讀(24)違法舉報(bào)

這篇具有很好參考價(jià)值的文章主要介紹了Nginx目錄穿越漏洞。希望對(duì)大家有所幫助。如果存在錯(cuò)誤或未考慮完全的地方,請(qǐng)大家不吝賜教,您也可以點(diǎn)擊"舉報(bào)違法"按鈕提交疑問(wèn)。

Nginx目錄穿越漏洞

影響版本:全版本

影響說(shuō)明:信息泄漏

環(huán)境說(shuō)明:Nginx 1.13.0
漏洞復(fù)現(xiàn):
Nginx的目錄穿越漏洞嚴(yán)格定義的話,并非是漏洞,而是Nginx的特性,由于運(yùn)維人員或者開(kāi)發(fā)人員配置錯(cuò)誤而導(dǎo)致的漏洞。
該問(wèn)題出現(xiàn)在Nginx的虛擬目錄配置上,也就是Alias。Alias正如其名,alias指定的路徑是location的別名,不管location的值怎么寫(xiě),資源的真實(shí)路徑都是Alias指定的路徑,例如:

location /margin {
    alias /home/www/margin/;
}

配置以上內(nèi)容后如果訪問(wèn)http://xxx/margin/logo.png,其實(shí)真的資源是定位到/home/www/margin/logo.png下。
但此時(shí)是有問(wèn)題的,如果location后的路徑后面不加/,便會(huì)出現(xiàn)目錄穿越的漏洞,對(duì)應(yīng)關(guān)系如下:

請(qǐng)求
http://xxx/margin../
變?yōu)?/home/www/margin/../

最終導(dǎo)致下圖情況,造成信息泄漏,如果目錄中有數(shù)據(jù)庫(kù)備份、源碼備份危害就更大了。
nginx目錄穿越漏洞,筆記,nginx,安全,網(wǎng)絡(luò)
所以在location后的路徑后面添加/,便會(huì)防止目錄穿越的漏洞文章來(lái)源地址http://www.zghlxwxcb.cn/news/detail-569254.html

到了這里,關(guān)于Nginx目錄穿越漏洞的文章就介紹完了。如果您還想了解更多內(nèi)容,請(qǐng)?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章,希望大家以后多多支持TOY模板網(wǎng)!

本文來(lái)自互聯(lián)網(wǎng)用戶投稿,該文觀點(diǎn)僅代表作者本人,不代表本站立場(chǎng)。本站僅提供信息存儲(chǔ)空間服務(wù),不擁有所有權(quán),不承擔(dān)相關(guān)法律責(zé)任。如若轉(zhuǎn)載,請(qǐng)注明出處: 如若內(nèi)容造成侵權(quán)/違法違規(guī)/事實(shí)不符,請(qǐng)點(diǎn)擊違法舉報(bào)進(jìn)行投訴反饋,一經(jīng)查實(shí),立即刪除!

領(lǐng)支付寶紅包贊助服務(wù)器費(fèi)用

相關(guān)文章

  • 【Nginx】nginx目錄遍歷漏洞

    除了X-Forwarded-For偽造客戶端IP漏洞,發(fā)現(xiàn)還要修改關(guān)于目錄遍歷的漏洞,這里簡(jiǎn)單記錄一下。 Nginx 目錄遍歷(Nginx Directory Traversal)是一種安全漏洞,通常會(huì)影響 Nginx 服務(wù)器上的 Web 應(yīng)用程序。該漏洞允許攻擊者通過(guò)利用應(yīng)用程序代碼中的錯(cuò)誤配置或代碼漏洞,來(lái)訪問(wèn)系統(tǒng)中未

    2024年02月13日
    瀏覽(21)
  • 網(wǎng)絡(luò)安全--linux下Nginx安裝以及docker驗(yàn)證標(biāo)簽漏洞

    網(wǎng)絡(luò)安全--linux下Nginx安裝以及docker驗(yàn)證標(biāo)簽漏洞

    目錄 一、Nginx安裝 ?二、docker驗(yàn)證標(biāo)簽漏洞 1.首先創(chuàng)建 Nginx 的目錄并進(jìn)入: 2.下載 Nginx 的安裝包,可以通過(guò) FTP 工具上傳離線環(huán)境包,也可通過(guò) wget 命令在線獲取安裝包: 沒(méi)有 wget 命令的可通過(guò) yum 命令安裝: 3.解壓 Nginx 的壓縮包: 4.下載并安裝 Nginx 所需的依賴庫(kù)和包:

    2024年02月11日
    瀏覽(22)
  • 目錄穿越/遍歷漏洞及對(duì)其防御方法的繞過(guò)

    目錄穿越/遍歷漏洞及對(duì)其防御方法的繞過(guò)

    ? 目錄穿越(目錄遍歷)是一個(gè)Web安全漏洞,攻擊者可以利用該漏洞讀取運(yùn)行應(yīng)用程序的服務(wù)器上的任意文件。 這可能包括應(yīng)用程序代碼和數(shù)據(jù),后端系統(tǒng)的登錄信息以及敏感的操作系統(tǒng)文件。目錄穿越不僅可以訪問(wèn)服務(wù)器中的任何目錄,還可以訪問(wèn)服務(wù)器中任何文件的內(nèi)

    2024年02月11日
    瀏覽(24)

  • Nginx 安全漏洞

    CVE-2021-23017 nginx存在安全漏洞,該漏洞源于一個(gè)離一錯(cuò)誤在該漏洞允許遠(yuǎn)程攻擊者可利用該漏洞在目標(biāo)系統(tǒng)上執(zhí)行任意代碼。受影響版本:0.6.18-1.20.0 CVE-2019-9511,CVE-2019-9513,CVE-2019-9516 Nginx 1.9.51 至 16.0版本及1.17.2.版本中的HTTP/2實(shí)現(xiàn)中存在拒絕服務(wù)漏洞,攻擊者以多個(gè)數(shù)據(jù)流請(qǐng)

    2024年02月04日
    瀏覽(18)
  • 中間件安全—Nginx常見(jiàn)漏洞

    中間件安全—Nginx常見(jiàn)漏洞

    ??在上篇中間件安全—Apache常見(jiàn)漏洞中,并未對(duì)中間件漏洞進(jìn)行解釋,這里補(bǔ)充一下。 ??所謂的中間件漏洞就是并非是由于代碼程序上設(shè)計(jì)存在缺陷而導(dǎo)致的漏洞,而是屬于應(yīng)用部署中環(huán)境配置不當(dāng)或使用不當(dāng)而導(dǎo)致的漏洞,同時(shí)這方面的漏洞也是最容易被管理員忽略的

    2024年02月09日
    瀏覽(22)
  • 使用nginx處理的一些安全漏洞

    使用nginx處理的一些安全漏洞

    HTTP X-Permitted-Cross-Domain-Policies 響應(yīng)頭缺失 Nginx的nginx.conf中l(wèi)ocation下配置: HTTP Referrer-Policy 響應(yīng)頭缺失 Nginx的nginx.conf中l(wèi)ocation下配置: HTTP X-Content-Type-Options 響應(yīng)頭缺失 Nginx的nginx.conf中l(wèi)ocation下配置: HTTP X-Download-Options 響應(yīng)頭缺失 Nginx的nginx.conf中l(wèi)ocation下配置: HTTP Content-Security-Po

    2023年04月08日
    瀏覽(25)
  • 安全中級(jí)2:nginx的中間件漏洞

    安全中級(jí)2:nginx的中間件漏洞

    目錄 一、nginx解析php的流程 1.原理? ? 2.CGI、FastCGI、PHP-FPM、PHP-CG、WrapperI的定義 二、Fastcgi協(xié)議 1.Fastecgi Record 2.Fastcgi Type 3.PHP-FPM(FastCGI進(jìn)程管理器) 4.總結(jié)FastCGI解析的流程 三、nginx配置錯(cuò)誤導(dǎo)致的漏洞 1.CRLF注入漏洞($uri解碼漏洞,換行符導(dǎo)致的注入漏洞) (1)原理 (2)利用

    2024年02月09日
    瀏覽(22)
  • Nginx 安全漏洞(CVE-2022-3638)處理

    Nginx 安全漏洞(CVE-2022-3638)處理

    近日,在一起安全掃描中,發(fā)現(xiàn)系統(tǒng)存在Nginx 安全漏洞(CVE-2022-3638)。漏洞描述如下:nginx中發(fā)現(xiàn)的該漏洞會(huì)影響涉及IPv4連接斷開(kāi)的ngx_resolver.c文件某些未知處理過(guò)程,攻擊者利用該漏洞在發(fā)起遠(yuǎn)程攻擊,導(dǎo)致這個(gè)過(guò)程中觸發(fā)內(nèi)存泄漏。nginx 1.23.2之前版本存在安全漏洞。 背景

    2023年04月13日
    瀏覽(28)
  • web安全之目錄穿越

    web安全之目錄穿越

    簡(jiǎn)介: 目錄穿越(又稱目錄遍歷diretory traversal/path traversal)是通過(guò)目錄控制序列 ../ 或者文件絕對(duì)路徑來(lái)訪問(wèn)存儲(chǔ)在文件系統(tǒng)上的任意文件和目錄的一種漏洞。 原理: web應(yīng)用對(duì)于url請(qǐng)求沒(méi)有進(jìn)行合理的審查與過(guò)濾,導(dǎo)致構(gòu)造目錄控制序列直接傳入文件系統(tǒng)apl。 危害: 對(duì)于存

    2024年02月08日
    瀏覽(17)
  • 文件操作安全之-目錄穿越原理篇

    文件操作安全之-目錄穿越原理篇

    本節(jié)將詳細(xì)解釋一下目錄穿越相關(guān)內(nèi)容,作為我的專欄《安全運(yùn)營(yíng)之網(wǎng)絡(luò)攻擊研判分析》中的一節(jié)。本文主要闡述目錄穿越相關(guān)的原理,關(guān)于目錄穿越攻擊的流量示例,以及分析研判等內(nèi)容,詳見(jiàn)這里。 Linux系統(tǒng)中提供了./用以表示當(dāng)前目錄,…/表示上一級(jí)目錄,如下是Lin

    2024年02月08日
    瀏覽(18)

覺(jué)得文章有用就打賞一下文章作者

支付寶掃一掃打賞

博客贊助

微信掃一掃打賞

請(qǐng)作者喝杯咖啡吧~博客贊助

支付寶掃一掃領(lǐng)取紅包,優(yōu)惠每天領(lǐng)

二維碼1

領(lǐng)取紅包

二維碼2

領(lǐng)紅包