web应用安全基线;

3 月，跳不动了？>>> Title：Linux-nginx安全配置 nginx 测试版本 ：nginx 1.x 0x00 Nginx简介 Nginx是一款轻量级的web服务器/反向代理服务器及电子邮件代理服务器。其特点是占用内存少，并发能力强。 Nginx漏洞查询： http://nginx.org/en/security_advisories.html 0x01 Nginx 漏洞 1. 文件类型错误解析漏洞 成因：由配置导致的安全问题 漏洞危害：利用该漏洞，攻击者可将任意文件类型作为PHP文件解析，通常是利用该漏洞获取webshell。 漏洞利用方式：假设某服务器存在该漏洞，攻击者可通过上传包含PHP网马的图片来获取网站的webshell。 安全加固方案： （1）方案一：修改php.ini文件，将cgi.fix_pathinfo 的值设置为0；(该方法简单粗暴，可能会造成系统不稳定，故此方案不可取) （2）方案二：在nginx配置文件中添加以下代码： if( $fastcgi_script_name ~ \..*\/.*php){ return 403; } 注：新的 php-fpm 已经关闭了 cgi.fix_pathinfo参数 2. Nginx配置错误导致目录遍历漏洞 成因：由配置导致的安全问题 漏洞利用方式： 错误配置： location /ceshi { alias