NGINX配置目录遍历漏洞的解决
更新时间:2023年10月29日 10:57:55 作者:zcfeng530
目录遍历是一种安全漏洞,通常会影响Nginx服务器上的Web应用程序,本文就来介绍一下NGINX配置目录遍历漏洞的解决,感兴趣的可以了解一下
一、上nginx配置
二、 测试访问
三、模拟穿越目录访问
根目录下的所有文件都可以访问,还可以下载至本地进行分析利用。
四、漏洞产生原因
在配置alias路径目录时,没有对location的匹配内容进行严格控制。
关于location匹配控制
1.没有"/"结尾时,location /a/bc可以匹配/a/bcdef请求,也可以匹配/a/bc/def等
2.而有"/"结尾时,location /a/bc/不能匹配/a/bcdef请求,只能匹配/a/bc/anything这样的请求
五、整改并验证
修改nginx配置文件,并重启NGINX,浏览器访问http://192.168.88.179/test../etc/
完美解决!
到此这篇关于NGINX配置目录遍历漏洞的解决的文章就介绍到这了,更多相关NGINX 目录遍历漏洞内容请搜索脚本之家以前的文章或继续浏览下面的相关文章希望大家以后多多支持脚本之家!
相关文章
Nginx缓存文件与动态文件自动均衡的配置脚本
Nginx (engine x) 是一个高性能的HTTP和反向代理服务,也是一个IMAP/POP3/SMTP服务。这篇文章主要介绍了Nignx缓存文件与动态文件自动均衡的配置,需要的朋友可以参考下
2018-09-09
Nginx的反向代理实例详解
这篇文章主要介绍了Nginx的反向代理实例详解,本文通过实例代码给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下
2020-10-10
Nginx配置检测服务状态的实现方法
这篇文章主要介绍了Nginx配置检测服务状态的实现方法,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
2019-05-05
nginx线程池源码分析
虽然nginx的源码非常精致,但是不得不说开发nginx很有挑战性,越想更大程度上定制自己的模块,越需要对nginx的每个细节了解颇深。
2015-08-08
Nginx增添api接口的实现方法
这篇文章给大家介绍了Nginx增添api接口的方法,文章通过代码示例介绍的非常详细,对大家的学习或工作有一定的帮助,具有一定的参考价值,需要的朋友可以参考下
2023-10-10
nginx实现tomcat动静分离详解
本篇文章主要介绍了nginx实现tomcat动静分离详解,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
2017-06-06
最新评论