Serangan keselamatan Web Nginx dan amalan pertahanan-Nginx-php.cn

Serangan keselamatan Web Nginx dan amalan pertahanan

王林

Lepaskan： 2023-06-10 12:11:29

asal

891 orang telah melayarinya

Nginx ialah pelayan web berprestasi tinggi yang digunakan secara meluas dalam aplikasi Internet dan peringkat perusahaan. Selain memberikan prestasi dan kebolehpercayaan yang cemerlang, Nginx juga mempunyai beberapa ciri keselamatan yang berkuasa. Dalam artikel ini, kami akan menyelidiki serangan dan pertahanan keselamatan web praktikal Nginx, dan memperkenalkan cara melindungi aplikasi web daripada pelbagai serangan.

Mengkonfigurasi SSL/TLS

SSL/TLS ialah protokol komunikasi yang disulitkan yang penting untuk melindungi aplikasi web. Dengan menggunakan SSL/TLS, anda boleh menyulitkan semua komunikasi web, dengan itu melindungi data sensitif daripada penggodam kecurian dan gangguan. Untuk mendayakan SSL/TLS dalam Nginx, anda perlu memasang sijil SSL/TLS, yang perlu ditandatangani oleh Pihak Berkuasa Sijil (CA) yang dipercayai. Berikut ialah konfigurasi Nginx mudah untuk mendayakan SSL/TLS:

server {
    listen 443 ssl;
    server_name mywebsite.com;

    ssl_certificate /path/to/cert.crt;
    ssl_certificate_key /path/to/cert.key;

    location / {
        # Your web application logic...
    }
}

Salin selepas log masuk

Dalam konfigurasi di atas, arahan listen 443 ssl; memberitahu Nginx untuk menggunakan port 443 standard dan mendayakan SSL/TLS. Arahan ssl_certificate dan ssl_certificate_key menentukan laluan fail sijil SSL/TLS dan kunci peribadi.

Mengkonfigurasi HTTP2

HTTP2 ialah protokol rangkaian baharu yang boleh memberikan kelajuan pemuatan halaman web yang lebih pantas dan prestasi yang lebih baik daripada HTTP 1.1 tradisional. Apabila anda menggunakan HTTP2, anda boleh mendapatkan berbilang fail atau sumber daripada pelayan pada masa yang sama, dan mereka boleh menggunakan binari dan bukannya format teks, menjadikan komunikasi lebih pantas. Pada masa yang sama, HTTP2 juga menyediakan keselamatan yang lebih baik, seperti tolakan pelayan, yang boleh memindahkan berbilang fail kepada klien sekaligus, sekali gus mengurangkan masa pergi balik. Untuk mendayakan HTTP2 dalam Nginx, anda boleh menggunakan konfigurasi berikut:

server {
    listen 443 ssl http2;
    server_name mywebsite.com;

    ssl_certificate /path/to/cert.crt;
    ssl_certificate_key /path/to/cert.key;

    location / {
        # Your web application logic...
    }
}

Salin selepas log masuk

Dalam konfigurasi di atas, kami menambah pilihan listen selepas pilihan http2 dalam arahan ssl untuk mendayakan HTTP2.

Cegah SQL Injection

SQL injection ialah kaedah serangan yang sangat popular, penggodam boleh mengakses pangkalan data dengan menyuntik kod hasad, mencuri maklumat sensitif atau memusnahkan integriti data. Dalam Nginx, anda boleh menghalang serangan suntikan SQL dengan menggunakan konfigurasi berikut:

location / {
    # Your web application logic...

    # Block SQL injection attacks
    if ($args ~ "(<|%3C).*script.*(>|%3E)" ) {
        return 403;
    }
}

Salin selepas log masuk

Dalam konfigurasi di atas, kami telah menggunakan ungkapan biasa untuk menyemak sama ada skrip disertakan dalam parameter permintaan. Jika ia disebabkan skrip, ralat 403 akan dikembalikan dan permintaan akan ditolak.

Cegah Pemalsuan Permintaan Merentas Tapak (CSRF)

Pemalsuan permintaan merentas tapak (CSRF) ialah kaedah serangan yang sangat biasa yang boleh digunakan oleh penggodam untuk menipu pengguna supaya melakukan perkara yang mereka tidak tahu mereka lakukan melakukan tindakan berniat jahat dalam keadaan tertentu. Untuk mengelakkan serangan CSRF, anda boleh menambah kod berikut pada konfigurasi Nginx anda:

location / {
    # Your web application logic...

    # Block CSRF attacks
    if ($http_referer !~ "^https?://mywebsite.com") {
        return 403;
    }
}

Salin selepas log masuk

Dalam konfigurasi di atas, kami telah menggunakan ungkapan biasa untuk menyemak sama ada pengepala Referer permintaan sepadan dengan padanan nama domain tapak web kami sendiri . Jika tiada padanan, ralat 403 akan dikembalikan dan permintaan akan ditolak.

Cegah serangan DDoS

Serangan penolakan perkhidmatan (DDoS) teragih ialah kaedah serangan yang sangat popular Penggodam menggunakan sejumlah besar sumber pengkomputeran untuk mensimulasikan sejumlah besar rangkaian, dengan itu menurunkan pelayan web sasaran. Dalam Nginx, anda boleh menghalang serangan DDoS dengan konfigurasi berikut:

http {
    # Define blacklist zone
    geo $blacklist {
        default 0;
        # Add IP address to blacklist if over 100 connections per IP
        # in the last 10 seconds
        limit_conn_zone $binary_remote_addr zone=blacklist:10m;
        limit_conn blacklist 100;
    }
 
    server {
        listen 80 default_server;
        server_name mywebsite.com;

        # Add IP addresses to whitelist
        allow 192.168.1.1/24;
        deny all;

        # Block blacklisted IP addresses
        if ($blacklist = 1) {
            return 403;
        }

        location / {
            # Your web application logic...
        }
    }
}

Salin selepas log masuk

Dalam konfigurasi di atas, kami telah menggunakan modul limit_conn_zone dan limit_conn Nginx untuk mengehadkan bilangan sambungan serentak bagi setiap alamat IP. Kami juga telah menambah senarai putih yang membenarkan julat alamat IP tertentu dan hanya menyekat akses jika alamat IP tiada dalam senarai putih dan melebihi had sambungan.

Ringkasan

Nginx mempunyai banyak ciri keselamatan web yang berkuasa yang boleh anda gunakan untuk melindungi aplikasi web anda daripada pelbagai serangan. Dalam artikel ini, kami memperkenalkan langkah keselamatan penting berikut:

Konfigurasikan sijil SSL/TLS dan sulitkan data komunikasi.
Konfigurasikan protokol HTTP2 untuk meningkatkan kelajuan dan prestasi pemuatan halaman web.
Cegah suntikan SQL dan cegah serangan dengan mengesan skrip dalam parameter permintaan.
Menghalang serangan CSRF dengan menyemak pengepala Referer dalam permintaan untuk menolak permintaan yang tidak sah.
Cegah serangan DDoS, gunakan modul limit_conn_zone dan limit_conn untuk mengehadkan bilangan sambungan serentak bagi setiap alamat IP dan gunakan senarai putih untuk membenarkan akses kepada alamat IP tertentu.

Dengan menggunakan langkah keselamatan yang diterangkan di atas, anda boleh melindungi keselamatan aplikasi web anda dan melindunginya daripada pelbagai serangan.

Atas ialah kandungan terperinci Serangan keselamatan Web Nginx dan amalan pertahanan. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!