前言：

Nginx  (engine x) 是一個(gè)高性能的http和反向 服務(wù)器，也可以作為IMAP/POP3/SMTP服務(wù)器。t engine是由淘寶網(wǎng)發(fā)起的Web服務(wù)器項(xiàng)目。它在 Nginx 的基礎(chǔ)上，針對(duì)大訪問(wèn)量網(wǎng)站的需求，添加了很多高級(jí)功能和特性。

在滲透測(cè)試過(guò)程中發(fā)現(xiàn)很多網(wǎng)站使用了nginx或者tenginx來(lái)做反向代理，ningx的配置文件nginx.conf的一些錯(cuò)誤配置可能引發(fā)一些安全漏洞。下面是總結(jié)的一些可能引發(fā)安全問(wèn)題的錯(cuò)誤配置，并且推薦了github上一款用于檢測(cè)nginx安全配置的工具。

Ningx.conf配置一共分為4部分： 1.頂級(jí)配置 2. Events 模塊 3.http部分 4.server部分

0×00任意文件讀取

這個(gè)常見(jiàn)于Nginx做反向代理的情況，動(dòng)態(tài)的部分被proxy_pass傳遞給后端端口，而靜態(tài)文件需要Nginx來(lái)處理。 假設(shè)靜態(tài)文件存儲(chǔ)在/home/目錄下，而該目錄在url中名字為files，那么就需要用alias設(shè)置目錄的別名：

location /files {

alias /home/;

}

此時(shí)訪問(wèn) http://127.0.0.1:8080/files/1.txt ， 就可以獲取 /home/1.txt 文件。

我們發(fā)現(xiàn)，url上 /files 沒(méi)有加后綴 / ，而alias設(shè)置的 /home/ 是有后綴 / 的，這個(gè) / 就導(dǎo)致我們可以從 /home/ 目錄穿越到他的上層目錄，造成任意文件下載：

修復(fù)方法： 不寫成上面那種有漏洞的形式，比如可以寫成結(jié)尾都帶著 / 字符。

0×01$uri導(dǎo)致的CRLF注入

在實(shí)際業(yè)務(wù)場(chǎng)景中經(jīng)常需要在nginx中配置路徑跳轉(zhuǎn)。

比如用戶訪問(wèn)http://x.com     自動(dòng)跳轉(zhuǎn)到https://x.com  或者是訪問(wèn)   http://x.com  自動(dòng)跳轉(zhuǎn)到   http://www.x.com

在跳轉(zhuǎn)的過(guò)程中，我們需要保證用戶訪問(wèn)的頁(yè)面不變，所以需要從Nginx獲取用戶請(qǐng)求的文件路徑，有三個(gè)可以表示uri的變量：

$uri

$document_uri

$request_uri

$uri 和  $document_uri表示的是解碼以后的請(qǐng)求路徑，不帶參數(shù),$request_uri表示的是完整的URI（沒(méi)有解碼）,如果在nginx.conf中配置了下列的代碼：

location /test {
             return 302 http://$host:81$uri;
                 }

因?yàn)?$uri 是解碼以后的請(qǐng)求路徑，所以可能就會(huì)包含換行符，也就造成了一個(gè)CRLF注入漏洞。

該漏洞除了發(fā)生在  return后面，也可能發(fā)生在r ewrite、 a dd_header、p roxy_set_header、p roxy_pass之后。

修復(fù)方式： 將 $uri或者$document_uri 改為 $request_uri 。

0×02  SSRF

SSRF(服務(wù)端請(qǐng)求偽造)漏洞常出現(xiàn)在反向代理的配置中，反向代理的語(yǔ)法如下：proxy_pass http ://IP

如果攻擊者可以操控IP, 將其修改成內(nèi)網(wǎng)IP地址即可造成SSRF漏洞。

0×03目錄遍歷

autoindex off; #是否開(kāi)啟目錄列表訪問(wèn)，默認(rèn)關(guān)閉。

若設(shè)置成 autoindex on;

0x04nginx版本泄露

對(duì)于nginx服務(wù)器，之前曾爆出過(guò)不同版本的解析漏洞，比如 nginx 0.7.65以下（0.5.*, 0.6.*, 0.7.* ）全版本系列和0.8.37（0.8.*）以下8系列受影響。 下面假設(shè)在存在漏洞的站點(diǎn)上有一張圖片url地址為： http://x.x.x.x/logo.jpg   而當(dāng)我們正常訪問(wèn)圖片時(shí)，nginx會(huì)把這個(gè)當(dāng)作非腳本語(yǔ)言直接讀取傳送會(huì)客戶端（也就是瀏覽器），但是

存在解析漏洞的nginx會(huì)把如下連接解析并且當(dāng)作php文件執(zhí)行~：

http://x.x.x.x/logo.jpg/x.php

http://x.x.x.x/logo.jpg%00x.php

因此 隱藏 Nginx 的版本號(hào)，提高安全性。

在配置文件nginx.conf里面,設(shè)置如下： server_tokens off;

Nginx配置安全檢查的工具

Github上開(kāi)源了一款Nginx配置安全檢查的工具，叫做gixy，可以覆蓋以上的部分問(wèn)題。

項(xiàng)目地址：   https://github.com/yandex/gix y

工具是用python編寫的，python2.7和3.5+版本都支持�？梢灾苯佑胮ip來(lái)安裝：pip install gixy。

使用起來(lái)也很簡(jiǎn)單，直接將 gixy 命令后面加上 ningx.conf 文件的具體位置即可。

 

來(lái)自：http://www.freebuf.com/articles/web/149761.html

 

標(biāo)簽： web服務(wù)器 安全 代碼 服務(wù)器 腳本 漏洞

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請(qǐng)聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點(diǎn)！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請(qǐng)與原作者聯(lián)系。