服务器 Gind.cn
  1. 服务器 Gind.cn
  3. Nginx:安全与条件
Intereting Posts
“getent passwd”枚举用户,“su <username>”失败 Bind9不会从Ubuntu 9.10开始 为了使用Nginx的SSLconfiguration,我们需要做什么样的兼容性权衡? Windows 2008 R2上的事件34在系统驱动器上写入caching和sysvol 计划任务是否可以执行graphics(交互)login或使用脚本执行相同的操作? Windows 7 RC在虚拟机上运行吗? “未能打开stream:打开的文件过多”和垃圾收集 自动发现失败 Veeam Linux代理不能连接到FreeNAS的SMB Ubuntu 12.04 KVM主机高负载闲置Ubuntu的12.04客人 NTPconfiguration无法识别? 正常的磁盘读取/写入值的Ubuntu服务器 没有包提供libssl.so.10 在NFS文件夹上删除和复制文件变慢 mdadm停止重build一个RAID5arrays99.9%

Nginx:安全与条件

我正在四处阅读,寻找Nginx可以采取的一些安全措施,以保护我使用Nginx作为反向代理服务的应用程序。 我发现这个代码有一些好的东西来保护网站,但它充满了条件,文档阻止了我使用它们。

我对Nginx专家的问题:

  • 有没有更好的方法去做这件事?
  • 有没有一个这样的地方常用的片段沟渠的条件?
  • 我需要这个吗?

build议感激。 

## Block SQL injections set $block_sql_injections 0; if ($query_string ~ "union.*select.*\(") { set $block_sql_injections 1; } if ($query_string ~ "union.*all.*select.*") { set $block_sql_injections 1; } if ($query_string ~ "concat.*\(") { set $block_sql_injections 1; } if ($block_sql_injections = 1) { return 403; } ## Block file injections set $block_file_injections 0; if ($query_string ~ "[a-zA-Z0-9_]=http://") { set $block_file_injections 1; } if ($query_string ~ "[a-zA-Z0-9_]=(\.\.//?)+") { set $block_file_injections 1; } if ($query_string ~ "[a-zA-Z0-9_]=/([a-z0-9_.]//?)+") { set $block_file_injections 1; } if ($block_file_injections = 1) { return 403; } ## Block common exploits set $block_common_exploits 0; if ($query_string ~ "(<|%3C).*script.*(>|%3E)") { set $block_common_exploits 1; } if ($query_string ~ "GLOBALS(=|\[|\%[0-9A-Z]{0,2})") { set $block_common_exploits 1; } if ($query_string ~ "_REQUEST(=|\[|\%[0-9A-Z]{0,2})") { set $block_common_exploits 1; } if ($query_string ~ "proc/self/environ") { set $block_common_exploits 1; } if ($query_string ~ "mosConfig_[a-zA-Z_]{1,21}(=|\%3D)") { set $block_common_exploits 1; } if ($query_string ~ "base64_(en|de)code\(.*\)") { set $block_common_exploits 1; } if ($block_common_exploits = 1) { return 403; } ## Block spam set $block_spam 0; if ($query_string ~ "\b(ultram|unicauca|valium|viagra|vicodin|xanax|ypxaieo)\b") { set $block_spam 1; } if ($query_string ~ "\b(erections|hoodia|huronriveracres|impotence|levitra|libido)\b") { set $block_spam 1; } if ($query_string ~ "\b(ambien|blue\spill|cialis|cocaine|ejaculation|erectile)\b") { set $block_spam 1; } if ($query_string ~ "\b(lipitor|phentermin|pro[sz]ac|sandyauer|tramadol|troyhamby)\b") { set $block_spam 1; } if ($block_spam = 1) { return 403; } ## Block user agents set $block_user_agents 0; # Don't disable wget if you need it to run cron jobs! #if ($http_user_agent ~ "Wget") { # set $block_user_agents 1; #} # Disable Akeeba Remote Control 2.5 and earlier if ($http_user_agent ~ "Indy Library") { set $block_user_agents 1; } # Common bandwidth hoggers and hacking tools. if ($http_user_agent ~ "libwww-perl") { set $block_user_agents 1; } if ($http_user_agent ~ "GetRight") { set $block_user_agents 1; } if ($http_user_agent ~ "GetWeb!") { set $block_user_agents 1; } if ($http_user_agent ~ "Go!Zilla") { set $block_user_agents 1; } if ($http_user_agent ~ "Download Demon") { set $block_user_agents 1; } if ($http_user_agent ~ "Go-Ahead-Got-It") { set $block_user_agents 1; } if ($http_user_agent ~ "TurnitinBot") { set $block_user_agents 1; } if ($http_user_agent ~ "GrabNet") { set $block_user_agents 1; } if ($block_user_agents = 1) { return 403; }

该configuration只检查获取参数。 但是sqli或者lfi cat可以通过post,或者cookie,甚至http头文件被利用。 更好的方法是使用WAF(Web应用程序防火墙), 在这里input链接描述 。

但是没有理想的WAF,它只是一条保护线。 确保validation用户input,清理输出,为SQL查询使用预准备语句,并遵循其他良好实践