NGINX配置目录遍历漏洞的解决
一、上nginx配置

二、 测试访问

三、模拟穿越目录访问


根目录下的所有文件都可以访问,还可以下载至本地进行分析利用。
四、漏洞产生原因
在配置alias路径目录时,没有对location的匹配内容进行严格控制。
关于location匹配控制
1.没有"/"结尾时,location /a/bc可以匹配/a/bcdef请求,也可以匹配/a/bc/def等
2.而有"/"结尾时,location /a/bc/不能匹配/a/bcdef请求,只能匹配/a/bc/anything这样的请求
五、整改并验证

修改nginx配置文件,并重启NGINX,浏览器访问http://192.168.88.179/test../etc/

完美解决!
到此这篇关于NGINX配置目录遍历漏洞的解决的文章就介绍到这了,更多相关NGINX 目录遍历漏洞内容请搜索脚本之家以前的文章或继续浏览下面的相关文章希望大家以后多多支持脚本之家!
相关文章
Nginx location 和 proxy_pass路径配置问题小结
本文是基于 location 的匹配末尾是否配置 / 和 proxy_pass 末尾是否配置 / ,进行测试,完全还原了整个测试过程,本文给大家介绍Nginx location 基本配置及相关配置文件,感兴趣的朋友跟随小编一起看看吧2021-09-09
详解Nginx 反向代理、负载均衡、页面缓存、URL重写及读写分离详解
本篇文章主要介绍了Nginx 反向代理、负载均衡、页面缓存、URL重写及读写分离详解,具有一定的参考价值,感兴趣的小伙伴们可以参考一下。2016-12-12


最新评论