Nginx常见的三个漏洞

目录

[uri导致的CRLF注入漏洞](#uri导致的CRLF注入漏洞)

两种常见场景

表示uri的三个变量

案例

目录穿越漏洞

案例

[Http Header被覆盖的问题](#Http Header被覆盖的问题)

案例


$uri导致的CRLF注入漏洞

两种常见场景

  1. 用户访问http://example.com/aabbcc,自动跳转到https://example.com/aabbcc

  2. 用户访问http://example.com/aabbcc,自动跳转到http://www.example.com/aabbcc

第二个场景主要是为了统一用户访问的域名,更加有益于SEO优化

在跳转的过程中,我们需要保证用户访问的页面不变,所以需要从Nginx获取用户请求的文件路径

表示uri的三个变量

  1. $uri

  2. $document_uri

  3. $request_uri

1和2表示的是解码以后的请求路径,不带参数;3表示的是完整的URI(没有解码)

案例

如果运维配置了下列的代码

vbnet 复制代码
location / {
    return 302 https://$host$uri;
}

解析:

因为$uri是解码以后的请求路径,所以可能就会包含换行符,也就造成了一个CRLF注入漏洞(换行符注入)

这个CRLF注入漏洞可以导致会话固定漏洞、设置Cookie引发的CSRF漏洞或者XSS漏洞。其中,我们通过注入两个\r\n即可控制HTTP体进行XSS,但因为浏览器认为这是一个301跳转,所以并不会显示我们注入的内容

当我们正常访问http://192.168.149.128:8080/时,nginx重定向后,会在http响应头中出现Location字段

当我们正常访问http://192.168.149.128:8080/%0d%0atest=123 时会出现下一行中出现test=123

解析:

%0d%0a ---- \r\n,也就是换行符,所以在url中加入一个换行符即可将恶意数据写入http响应头

同理加两个换行符可以将数据写入响应体,就像访问http://192.168.119.131:8080/%0d%0a%0d%0a<script>alert(1)</script>,则会响应

如何解决

vbnet 复制代码
location / {
    return 302 https://$host$request_uri;
}

目录穿越漏洞

这个常见于Nginx做反向代理的情况,动态的部分被proxy_pass传递给后端端口,而静态文件需要Nginx来处理

案例

假设静态文件存储在/home/目录下,而该目录在url中名字为files,那么就需要用alias设置目录的别名http://192.168.149.128:8081/files/

设置别名

vbnet 复制代码
location /files/{
    alias /home/;
}
www.192.168.149.128/files../

location /files/ {
	alias /home/	
}

此时,访问 http://192.168.149.128:8081/files/help.txt,就可以获取/home/help.txt文件

解析

url上/files没有加后缀/,而alias设置的/home/是有后缀/的,这个/就导致我们可以从/home/目录穿越到他的上层目录:进而我们获得了一个任意文件下载漏洞

Http Header被覆盖的问题

众所周知,Nginx的配置文件分为Server、Location、If等一些配置块,并且存在包含关系,和编程语言比较类似。如果在外层配置的一些选项,是可以被继承到内层的

这里的继承也有一些特性,比如add_header,子块中配置后将会覆盖父块中的add_header添加的所有HTTP头,造成一些安全隐患

案例

Server块添加了CSP头,如下代码:

vbnet 复制代码
server {
    ...
    add_header Content-Security-Policy "default-src 'self'";
    add_header X-Frame-Options DENY;

    location = /test1 {
        rewrite ^(.*)$ /xss.html break;
    }

    location = /test2 {
        add_header X-Content-Type-Options nosniff;
        rewrite ^(.*)$ /xss.html break;
    }
}

但/test2的location中又添加了X-Content-Type-Options头,导致父块中的add_header全部失效

相关推荐
張萠飛32 分钟前
Linux中程序的limits中的Max open files的配置由哪些参数决定
linux·运维·服务器
一心0928 小时前
ubuntu 20.04.6 sudo 源码包在线升级到1.9.17p1
运维·ubuntu·sudo·漏洞升级
好好学习啊天天向上8 小时前
世上最全:ubuntu 上及天河超算上源码编译llvm遇到的坑,cmake,ninja完整过程
linux·运维·ubuntu·自动性能优化
你想考研啊9 小时前
三、jenkins使用tomcat部署项目
运维·tomcat·jenkins
代码老y9 小时前
Docker:容器化技术的基石与实践指南
运维·docker·容器
典学长编程10 小时前
Linux操作系统从入门到精通!第二天(命令行)
linux·运维·chrome
DuelCode10 小时前
Windows VMWare Centos Docker部署Springboot 应用实现文件上传返回文件http链接
java·spring boot·mysql·nginx·docker·centos·mybatis
你想考研啊12 小时前
四、jenkins自动构建和设置邮箱
运维·jenkins
Code blocks12 小时前
使用Jenkins完成springboot项目快速更新
java·运维·spring boot·后端·jenkins
饥饿的半导体13 小时前
Linux快速入门
linux·运维