当前位置 主页 > 服务器问题 > nginx问题汇总 >

    几个关于nginx的安全问题

    栏目:nginx问题汇总 时间:2019-06-28 16:41

           Nginx在使用过程中会有几个比较关键的安全性问题需要注意的,在这里调几个重点的分析一下,并且提供解决方法。
      问题一:恶意抓取和盗用行为。
      解决办法:
      打开服务器的基础防盗链功能:避免恶意用户轻而易举的爬取到网站的对外数据。
      secure_link_module模块:对数据安全性提高加密验证和失效性,对一些重要数据使用,access_module模块:对后台、部分用户服务的数据提供IP监控,如规定IP等,应用层攻击。
      问题二:密码在后台发生撞库,指通过密码字典对后台系统进行常识性的登录,然后获取后台密码。
      解决办法:
      把后台密码进行复杂化,利用大小写数字字符号等等,开启预警机制,同一IP的频繁访问。access_module模块:对后台、部分用户服务的数据提供IP监控。
      问题三:文件上传出现漏洞,利用可上传的漏洞接口将病毒代码植入服务器中,再通过url访问来执行。
      解决办法:
      针对一些木马病毒和后缀等做出安全的处理。
      
      问题四:SQL注入,用没有过滤或还没审核的用户输入的攻击手段,让程序运行本不应该运行的SQL代码。
      解决办法:
      针对' or 1=1 #等常见注入代码进行检测,配置安全的waf,针对渗透的规则编写正确的表达式。
      nginx防攻击策略:使用nginx+Lua配置安全的waf防火墙,防火墙功能如下:
      防止Cookie类型攻击,
      防止异常post请求,
      防止cc攻击,频繁访问,
      防止URL,不想暴露的接口,
      防止arg参数。