网易首页 > 网易号 > 正文 申请入驻

Nginx安全风险之配置错误

0
分享至


  Nginx是支持世界上所有网站三分之一的Web服务器。因为轻巧,模块化,用户友好的配置格式以强大的反向代理能力,Nginx迅速取代其他Web服务器成了互联网上最常用Web服务器之一。作为一个门户和对外暴露的入口,Nginx也是Web服务在保障企业服务在性能和安全方面功不可没,虽然Nginx也暴露过一些漏洞(比如CVE-2013-4547,CVE-2017-7529,CVE-2018-16843/16844,CVE-2019-9516和CVE-2020-12440等),但是基本上都无法直接(难于)利用。但是没有漏洞,不等于不能被利用(同样有漏洞,不等于可以利用)。Nginx最大的安全问题并不是其安全漏洞,而是在运维上面,尤其是错误配置导致的问题。本文我们就介绍Nginx常见的配置错误,及其导致的安全问题(风险)。

  Web目录配置不当

  典型示例:

  server {

  root /etc/nginx;

  location /Chongcong.html {

  try_files $uri$uri/=404;

  proxy_pass http://127.0.0.1:8080/;

  解析:

  上述配置中由于图省事,直接把Nginx的Web根文件指定成了/etc/nginx。一般情况下/etc/nginx是nginx的配置目录,所有Nginx配置文件都位于该目录,而上述配置下所有该目录都就可以被访问。由于配置location个根目录/请求规则 (location / {...}),仅用于/ Chongcong.html。因此,root指令将被location继承,所有的/请求,都会访问/etc/nginx。

  比如请求/nginx.conf就会直接能访问实例Nginx配置信息。更有甚者如果root设置为/etc,则GET请求/pawsswd,/shadow就能访问系统的用户信息和用户密码哈希(如果权限设置)。

  根据安全网站统计,有关Nginx配置中常见的误用路径有:


  目录分隔符(/)配置不当

  典型示例:

  server {

  listen 80 default_server;

  server_name _;

  location /static {

  alias /usr/share/nginx/static/;

  location /api {

  proxy_pass http://apiserver/v1/;

  解析:

  上述配置中,由于缺少斜杠,因此导致了目录穿越,通过location伪指令中缺少尾随斜杠与伪指令相结合alias,可以访问到上一层的目录,读取Web应用程序的源代码等私密信息。还可以让proxy_pass和其他指令结合使用。

  location /api {

  proxy_pass http://apiserver/v1/;

  上述配置由于配置对进apiserver的接口访问,假定只允许访问/apiserver/v1/的接口,即

  /server/api/user === /apiserver/v1//user

  当请求server/api/user时,Nginx将首先会规范化转码URL。然后,它会检查前缀是否/api与URL匹配,在该情况下,URL会匹配。然后从URL中删除前缀,并保留/user路径。然后该路径添加到proxy_pass URL中,从而生成最终URL /apiserver/v1//user。

  注意,该URL中存在双斜杠,由于location指令不以斜杠结尾,而且proxy_pass URL路径要以斜杠结尾。大多数Web服务器会自动纠错/apiserver/v1//user为/apiserver/v1/user,即使配置错误,所有内容仍可以正常运行,并且并不会报错,所以很难被发现。

  但是,该错误配置,可以通过精心设置的Url请求设置加以利用,比如:/server/api../,将会导致Nginx请求/apiserver/v1/../,会被标准化为的URL /apiserver/。例如,可能导致访问服务器状态信息/server/api../server-status,或者可能使不希望公开访问的路径可访问。

  Nginx服务器配置错误的检查方法,当URL中的斜杠被删除时,服务器仍会返回相同的响应。例如,/server/api/user和/server/apiuser返回相同的内容,服务器可能是脆弱的。这将导致发送以下请求转化:

  /server/api/user === /apiserver/v1//user

  /server/apiuser === /apiserver/v1/user

  配置变量误用

  一些框架,脚本需要在Nginx配置做专门的配置,需要使用Nginx内置的配置变量。如果这些变量配置误用,则可能会导致诸如XSS, HttpOnly保护绕过,信息泄露甚至在远程执行等严重的安全漏洞。

  $URL误用和 CRLF注入

  Nginx配置中常见的一个变量误用了$uri或$document_uri而没有使用更安全的$request_uri。$uri和$document_url是转码化规范化的URI,$request_uri而会对请求的URL进行安全正规化转码处理,会将一些特殊字符转码以免被恶意利用。如果在配置中直接使用$uri和$document_url则可能导致会被利用引起CLRF跨站请求攻击。

  典型示例:

  location / {

  return 302 https://$hosts$uri;

  }

  解析:

  HTTP请求的新行字符为\r(回车)和\n(换行)。对新行字符进行URL编码会导致以下字符表示%0d%0a。当这些字符包含在请求中(例如localhost/%0a%0dSet-Cookie:hello)时,由于$uri变量包含URL解码的换行字符,服务器响应,修改后的HTTP头。

  HTTP/1.1 302 Moved Temporarily

  Server: nginx/1.13.0

  Content-Type: text/html

  Content-Length: 161

  Connection: close

  Location: xxxxx

  Set-Cookie:hello


  SCRIPT_NAME误用

  另一个典型错误是Nginx做反向代理时,反向代理到后端应用服务器,对SCRIPT_NAME变量的误用。

  典型示例:

  location ~ \.php$ {

  include fastcgi_params;

  fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;

  fastcgi_pass 127.0.0.1:9000;

  }

  解析:

  主要的问题是,即使服务器上不存.php该文件,Nginx也会将所有URL发送到PHP解释器。 如果PHP应用,用了SCRIPT_NAME于构建基本URL,则会导致将XSS漏洞。

  if(basename($_SERVER['SCRIPT_NAME']) ==

  basename($_SERVER['SCRIPT_FILENAME']))

  echo dirname($_SERVER['SCRIPT_NAME']);

  ?>

  GET /index.php//index.php

  SCRIPT_NAME = /index.php//index.php

  后端响应转发

  使用Nginx proxy_pass,可以拦截后端创建的错误和HTTP标头。如果要隐藏内部错误消息和标头,而交由Nginx处理,用着非常方便。对后端的应答,Nginx将自动提供一个自定义错误页面。但是有可能遇到Nginx无法理解的HTTP响应。如果客户端向Nginx发送无效的HTTP请求(状态吗),则该请求将按原样转发到后端,后端将使用其原始内容进行应答。然后,Nginx也无法理解无效的HTTP的响应,而只是原始的将其转发给客户端。想象一下这样的uWSGI应用程序:

  def application(environ, start_response):

  start_response('500 Error', [('Content-Type',

  'text/html'),('Secret-Header','secret-info')])

  return [b"Secret info, should not be visible!"]

  并在Nginx中使用以下指令:

  http {

  error_page 500 /html/error.html;

  proxy_intercept_errors on;

  proxy_hide_header Secret-Header;

  如果后端的响应状态大于300,proxy_intercept_errors将提供自定义响应。在上面的uWSGI应用程序中,发送一个500 Error Nginx会拦截的响应。

  proxy_hide_header可以将从客户端隐藏任何指定的HTTP标头。 如果我们发送正常GET请求,Nginx将返回:

  HTTP/1.1 500 Internal Server Error

  Server: nginx/1.10.3

  Content-Type: text/html

  Content-Length: 34

  Connection: close

  但是,如果发送无效的HTTP请求,例如:

  GET /? XTTP/1.1

  Host: 127.0.0.1

  Connection: close

  Nginx的响应则为:

  XTTP/1.1 500 Error

  Content-Type: text/html

  Secret-Header: secret-info

  Secret info, should not be visible!

  merge_slashes设置为off

  merge_slashes指令是一种Nginx默认的机制,用来消除两个或更多的斜杠,默认设置为“开”,这样///被转码为/。如果将Nginx用作反向代理,并且正在代理的应用程序容易受到本地文件包含的影响,则在请求中使用额外的斜杠可能会留出利用空间。为防止被恶意利用,可以设置merge_slashes设置为“off”。

  结论

  Nginx是一个非常强大的Web服务器平台,大家都喜欢使用Nginx,但是不一定都做了合理的配置,如果配置不当,则可能会对系统安全产生影响,配置时候不要直接通过复制粘贴就直接上线用,建议通过官方网站或者一些安全建议的配置,比如mozilla的Nginx安全配置建议和在线安全配置生成器。


特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。

Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.

相关推荐
热点推荐

李小龙和泰森谁厉害?泰森明确回复:任何规则我能打死他

杏林弈客
2021-04-10 16:20:01

“天热,女孩子可别穿汉服出门了...”哈哈哈不听劝的下场!

总是惊人的相似
2021-04-11 04:00:02

终于知道女孩子为什么都怕撞衫了,哈哈

总是惊人的相似
2021-04-11 04:00:02

北京首钢深夜获坏消息,季后赛首个对手官宣,夺冠需过4道鬼门关

时刻足球_
2021-04-11 08:42:08

英国女王老得好快:切蛋糕费劲要求助女儿,丈夫病重时瘦得明显

金牌办事员
2021-04-11 06:52:07

没事,再来一次,在公交车上发生的尴尬事情

凡间事
2021-04-09 23:52:40

美日印澳法,想对华威慑?中国怒吼:凑够16国史诗级难度再来!

科技电商聚焦
2021-04-09 02:40:35

老人卖包子养家,每天收摊却多100元,老伴一旁观察看清来人愣了

被风吹过的巷子
2021-04-10 20:11:32

流浪大师沈巍:曾经衣衫褴褛,颠沛流离;如今西装革履,万人追捧

锵锵文史局
2021-04-10 14:30:07

80%的男人其实想找体制内的美女结婚,因为体制内女生满足三要件

生活对你下手了
2021-04-11 07:34:21

里皮辞职514天后终于要重新出山:国足带给他的伤快好了!

中超球评
2021-04-11 11:44:29

郭威姥姥见到亲外孙,紧紧抱着不松手,邻居曝光姚策品行!

风萧萧若兮
2021-04-09 13:50:29

红火蚁入侵12省 竟还有人拿它当宠物?

北京青年报壹现场
2021-04-10 13:39:58

市场要闻 京东、美团、饿了么等10平台签署承诺书,承诺不利用大数据“杀熟”

36氪
2021-04-09 10:12:08

宋鲁郑:“战狼外交”是西方遏制中国的手段之一,我们切不可掉入话语陷阱

观察者网
2021-04-11 08:58:22

明星尴尬瞬间:刘涛肩带滑落,章子怡撩裙“放屁”

杨坚秉爱生活
2021-04-11 10:19:38

饭店的剩菜为何不让服务员吃?听完30年老厨师长的话,看完长见识

阳仔饮食shi
2021-04-08 22:20:40

中方一个动作震动全球,美国果然坐不住,此时日本却罕见沉默了

海纳新闻
2021-04-11 09:45:28

粉色上衣小姐姐,搭配灰色瑜伽裤,好看简约

美妙的瑜伽
2021-04-11 11:15:02

校长乔建永会见河南省郑州市市长侯红一行

吴亚吴娱乐
2021-04-11 05:42:28
2021-04-11 14:41:07
不经沧桑何谈男人
不经沧桑何谈男人
你一定要来
104文章数 18863关注度
往期回顾 全部

科技要闻

如何全面客观看待阿里天价罚单

头条要闻

专家:菲军方屡次以牛轭礁事件挑衅 要拉美国"撑腰"

头条要闻

专家:菲军方屡次以牛轭礁事件挑衅 要拉美国"撑腰"

体育要闻

94分钟逃绝平,皇马其实赢得很轻松?

娱乐要闻

宋茜拍大片秀深V 蜂腰翘臀很迷人

财经要闻

汽车要闻

工况续航达419km 奔腾NAT推5款网约车

态度原创

时尚
亲子
本地
旅游
游戏

专访王菊:人要性感,穿要大胆

亲子要闻

万元一次的交易,让多少中国女孩“卖身”换钱?

本地新闻

致敬理想燃烧与命运突围的日子

旅游要闻

哥特式与新艺术结合的建筑枢纽

《仙剑奇侠传》上架Steam 15日正式发售