Leitfaden zum Verfassen von Nginx-URL-Sicherheitsrichtlinien

Nginx erfreut sich als leistungsstarker Webserver und Reverse-Proxy-Server großer Beliebtheit bei Website-Architekten. Bei der Verwendung von Nginx müssen wir jedoch auch auf Sicherheitsaspekte achten, insbesondere bei der Verarbeitung von URLs.

Aufgrund der Flexibilität von Nginx können wir, wenn wir einige URL-Sicherheitsstrategien nicht anwenden, den folgenden Angriffen ausgesetzt sein:

1. SQL-Injection
2. XSS-Angriff
3. Illegaler Dateidownload
4. CSRF-Angriff
5. Illegale Anfrage für den Zugriff usw.

In diesem Artikel wird die Anleitung zum Schreiben der Nginx-URL-Sicherheitsrichtlinie vorgestellt.

1. Voraussetzungen

Bevor Sie eine Nginx-URL-Sicherheitsrichtlinie schreiben, müssen Sie die folgenden Wissenspunkte beherrschen:

1. Reguläre Ausdrücke
2. Syntax der Nginx-Konfigurationsdatei
3. Grundkenntnisse des HTTP-Protokolls

Nginx kann die Erkennung von HTTP-Anforderungsheadern verwenden, um böswillige HTTP-Anforderungen zu verhindern. Die spezifische Implementierungsmethode besteht darin, der Nginx-Konfigurationsdatei eine Konfiguration ähnlich der folgenden hinzuzufügen:

if ($http_user_agent ~* "some evil expression") {
    return 403;
}

Oder verwenden Sie das integrierte Firewall-Modul von Nginx für die Eingabefilterung wie folgt:

# block ip sends more than 100 requests per 5 seconds
limit_conn_zone $binary_remote_addr zone=one:10m;
limit_req_zone $binary_remote_addr zone=two:10m rate=1r/s;
server {
    location / {
        limit_conn one 10;
        limit_req zone=two burst=5 nodelay;
    }
}

Dieses Beispiel führt Folgendes aus:

Zuerst Definieren Sie zwei Zonen, dh einen Speicherbereich, in dem Statusinformationen gespeichert werden können. (Das bedeutet auch, dass bei vielen Zugriffen die Kosten für diesen Schutz relativ hoch sein können)

1. Wenn dieselbe IP-Adresse innerhalb von 5 Sekunden mehr als 100 HTTP-Anfragen sendet, dann blockieren.
2. Wenn dieselbe IP-Adresse innerhalb einer Sekunde mehr als 5 HTTP-Anfragen sendet, wird sie blockiert.
3. SQL-Injection verhindern

In der tatsächlichen Entwicklung ist es notwendig, SQL-Injection zu vermeiden. Um SQL-Injection-Angriffe zu verhindern, können wir es wie folgt konfigurieren:

location ~* (.php|.asp|.ashx)/?$ {
    if ($args ~* "select.*from") {
        return 403;
    }
}

Dieses Beispiel verwendet das integrierte if-Modul von Nginx, um zu verhindern, dass Angreifer SELECT-Anweisungen verwenden, um Daten aus der Datenbank abzurufen. In diesem Fall wird 403 Access Forbidden angezeigt zurückgegeben.

4. XSS-Angriffe verhindern

Bei XSS-Angriffen können wir die Erkennung von Eingaben verstärken. Wird ein möglicher XSS-Angriff erkannt, kann die Verbindung auf eine sichere URL umgeleitet oder eine Fehlermeldung zurückgegeben werden.

if ($args ~* "<script.*>") {
    return 403;
}

In diesem Beispiel wird das integrierte if-Modul von Nginx verwendet, um zu erkennen, ob in der URL Inhalte mit verschachtelten Skript-Tags vorhanden sind.

5. Verhindern Sie CSRF-Angriffe

Um CSRF-Angriffe zu verhindern, müssen Sie bei der Verwendung von Nginx Anfragen von externen Websites verbieten. Sie können beispielsweise die folgende Konfiguration hinzufügen:

location / {
    if ($http_referer !~ "^https?://$host/") {
        return 403;
    }
}

Dieses Beispiel verwendet das integrierte if-Modul von Nginx, um es nur auf den Empfang von Anfragen von der $host-Site zu beschränken. Wenn Anfragen von anderen Sites vorliegen, gibt Nginx 403 zurück.

6. Verhindern Sie Sicherheitslücken beim Herunterladen von Dateien

Um den Zugriff auf unzulässige Dateien wie private Dokumente, Skripte, Konfigurationsdateien usw. zu verhindern, verwenden Sie bitte die folgende Strategie:

location ~* .(xls|doc|pdf)$ {
    valid_referers none blocked server_names;
    if ($invalid_referer) {
        return 401;
    }
}

Dieses Beispiel verwendet das integrierte valid_referers-Modul von Nginx Wenn festgestellt wird, dass die Anfrage von „no“ stammt, wird 401 zurückgegeben.

7. Zugriff auf einige URLs verbieten

In tatsächlichen Projekten können einige URLs von Angreifern verwendet werden, z. B. admin.php, login.php usw. Wir können ihnen einfach den Zugang verbieten.

location ~ /(admin|login).php {
    deny all;
}

Die Konfiguration dieses Beispiels verbietet den Zugriff auf URLs, die mit admin.php und login.php enden.

8. Vollständiges Beispiel

Abschließend können wir auf der Grundlage der obigen Konfiguration das folgende vollständige Beispiel erhalten:

server {
    listen 80;
    server_name yourdomain.com;

    # 设置过滤规则
    location / {
        # 禁止非法请求
        limit_conn_zone $binary_remote_addr zone=one:10m;
        limit_req_zone $binary_remote_addr zone=two:10m rate=1r/s;
        limit_conn one 10;
        limit_req zone=two burst=5 nodelay;

        # 防止XSS攻击
        if ($args ~* "<script.*>") {
            return 403;
        }

        # 防止SQL注入
        if ($args ~* "select.*from") {
            return 403;
        }

        # 禁止admin和login的访问
        location ~ /(admin|login).php {
            deny all;
        }
    }

    # 防止文件下载漏洞
    location ~* .(xls|doc|pdf)$ {
        valid_referers none blocked server_names;
        if ($invalid_referer) {
            return 401;
        }
    }
}

Das Obige ist die Anleitung zum Schreiben der Nginx-URL-Sicherheitsrichtlinie. Ich hoffe, es kann Ihnen bei Ihrer Nginx-Konfiguration helfen und die Sicherheit des Systems verbessern.

Das obige ist der detaillierte Inhalt vonLeitfaden zum Verfassen von Nginx-URL-Sicherheitsrichtlinien. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!