Nginx Web安全漏洞问题解决:Web服务器HTTP头信息公开以及Web服务器错误页面信息泄露
这些配置文件的路径取决于nginx的配置,可能位于/etc/nginx目录下,也可能位于其他的目录下,可以通过搜索的方式查找。👉2.网安入门到进阶视频教程👈 很多朋友都不喜欢晦涩的文字,我也为大家准备了视频教程,其中一共有21个章节,每个章节都是当前板块的精华浓缩。1、每个漏洞的个数有四个,就是对应漏洞详情中的4个端口 2、产品使用Nginx提供的服务,Nginx通过虚拟机方式以不同端口提供服
1、安全漏洞说明
使用Nginx提供服务的产品,经过安全扫描工具扫描后报出两个安全漏洞
1.1、安全漏洞:Web服务器HTTP头信息公开
风险级别:中风险 漏洞个数:4 漏洞详情:
| 端口 | 协议 | 服务 |
|---|---|---|
| 443 | TCP | WWW |
| 80 | TCP | WWW |
| 8000 | TCP | WWW |
| 8080 | TCP | WWW |
1.2、安全漏洞:Web服务器错误页面信息泄露
风险级别:中风险 漏洞个数:4 漏洞详情:
| 端口 | 协议 | 服务 |
|---|---|---|
| 443 | TCP | WWW |
| 80 | TCP | WWW |
| 8000 | TCP | WWW |
| 8080 | TCP | WWW |
2、漏洞分析
1、每个漏洞的个数有四个,就是对应漏洞详情中的4个端口 2、产品使用Nginx提供的服务,Nginx通过虚拟机方式以不同端口提供服务
结论:Nginx有4个虚拟机存在安全漏洞,对应的端口分别是443、80、8000和8080
3、漏洞解决
3.1、找到漏洞端口对应的Nginx虚拟机配置文件
这些配置文件的路径取决于nginx的配置,可能位于/etc/nginx目录下,也可能位于其他的目录下,可以通过搜索的方式查找。 以漏洞详情中的4个端口号作为关键字查找
# grep -rE "443|80|8080|8000" /etc # grep -rE "443|80|8080|8000" /opt
nginx虚拟机配置文件格式一般有如下字段
server {
listen 8080;
...
}
可以做区分
3.2、修改虚拟机配置文件
3.2.1、修改方法
参考nginx官网 Module ngx_http_core_module
Syntax: server_tokens on | off | build | string; Default: server_tokens on; Context: http, server, location Enables or disables emitting nginx version on error pages and in the “Server” response header field. The build parameter (1.11.10) enables emitting a build name along with nginx version. Additionally, as part of our commercial subscription, starting from version 1.9.13 the signature on error pages and the “Server” response header field value can be set explicitly using the string with variables. An empty string disables the emission of the “Server” field.
3.2.2、配置文件修改
8080配置文件
server {
listen 8080;
...
}
增加一行
server {
listen 8080;
...
server_tokens off;
}
443配置文件
server {
listen 443;
...
}
增加一行
server {
listen 443;
...
server_tokens off;
}
8000配置文件
server {
listen 8000;
...
}
增加一行
server {
listen 8000;
...
server_tokens off;
}
80配置文件
server {
listen 80;
...
}
增加一行
server {
listen 80;
...
server_tokens off;
}
3.3、重启ngnix服务
# systemctl restart nginx
关于网络安全技术储备
学好网络安全不论是就业还是做副业赚钱都不错,但要学会网络安全还是要有一个学习规划。最后大家分享一份全套的网络安全学习资料,给那些想学习网络安全的小伙伴们一点帮助!
对于0基础小白入门:
如果你是零基础小白,想快速入门网络安全是可以考虑的。
一方面是学习时间相对较短,学习内容更全面更集中。
二方面是可以找到适合自己的学习方案
包括:网安成长学习路线图、SRC&黑客文档、护网行动、黑客必读书单、面试题、学习视频等教程。带你从零基础系统性的学好网络安全!
需要的可以微信扫描下方CSDN官方认证二维码免费领取【保证100%免费】
👉1.成长路线图&学习规划👈 要学习一门新的技术,作为新手一定要先学习成长路线图,方向不对,努力白费。
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图&学习规划。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
👉2.网安入门到进阶视频教程👈 很多朋友都不喜欢晦涩的文字,我也为大家准备了视频教程,其中一共有21个章节,每个章节都是当前板块的精华浓缩。(全套教程文末领取哈)
👉3.SRC&黑客文档👈 大家最喜欢也是最关心的SRC技术文籍&黑客技术也有收录
SRC技术文籍:
黑客资料由于是敏感资源,这里不能直接展示哦!(全套教程文末领取哈)
👉4.护网行动资料👈 其中关于HW护网行动,也准备了对应的资料,这些内容可相当于比赛的金手指!
👉5.黑客必读书单👈
随着互联网技术的飞速发展,网络安全已经成为了当今科技领域的一大热点。这些SQL注入、CCNA、Web渗透、Linux服务器等,以其强大的语言理解和防御能力,正在守护着我们网络世界。 那以下这些PDF籍就是非常不错的学习资源。
👉6.网络安全岗面试题合集👈 当你自学到这里,你就要开始思考找工作的事情了,而工作绕不开的就是真题和面试题。
这份完整版的网络安全学习资料已经上传CSDN,朋友们如果需要可以微信扫描下方CSDN官方认证二维码免费领取【保证100%免费】
技术共进,成长同行——讯飞AI开发者社区
更多推荐
16
0- 0
已为社区贡献45条内容
所有评论(0)