Nginx ialah perisian pelayan web sumber terbuka yang berkuasa yang menyediakan pilihan konfigurasi yang sangat komprehensif dan fleksibel. Walau bagaimanapun, pembolehubah penunjuk wujud dalam aplikasi WEB, dan penyerang boleh menggunakannya untuk mendapatkan maklumat sensitif atau mengakses sumber yang tidak dibenarkan. Dalam artikel ini, kita akan belajar cara melindungi daripada serangan pembolehubah penunjuk dalam Nginx.
1. Fahami serangan pembolehubah penunjuk
Penunjuk ialah konsep yang sangat asas dalam bahasa C Ia sebenarnya pembolehubah yang digunakan untuk menyimpan alamat memori. Penyerang boleh menukar nilai pembolehubah penunjuk dengan membina URL hasad dalam aplikasi WEB, yang boleh menyebabkan pelayan mengembalikan sumber yang tidak dibenarkan atau maklumat sensitif.
Sebagai contoh, jika aplikasi WEB menggunakan pembolehubah penuding untuk menyimpan ID pengguna, penyerang boleh mendapatkan data pengguna lain dengan membina URL hasad berikut:
http://example.com/ index.php?id=2001;/badcode.php
2 Kaedah untuk menghalang serangan pembolehubah penunjuk
Tapis keluar Penandaan. semua penunjuk dalam URL ialah cara paling mudah untuk melindungi daripada serangan pembolehubah penunjuk. Ini boleh dicapai menggunakan modul tulis semula terbina dalam Nginx. Tambahkan kod berikut dalam fail konfigurasi Nginx:
if ($request_uri ~ "(.)/(.)test(/|?)(.*)") {
kembali 403;
}
Apabila mana-mana URL yang mengandungi "ujian" dipadankan, halaman ralat 403 Forbidden dikembalikan.
Pasukan pembangunan harus menyeragamkan amalan pengaturcaraan untuk memastikan tiada potensi kelemahan yang ditinggalkan dalam kod. Untuk penggunaan pembolehubah penunjuk, terutamanya apabila berurusan dengan data sensitif, pertimbangan logik yang lebih ketat harus digunakan dan data input harus ditapis dengan ketat.
Modul keselamatan Nginx menyediakan beberapa ciri keselamatan tambahan yang boleh meningkatkan keselamatan aplikasi WEB. Contohnya, menggunakan modul keselamatan Nginx boleh memintas vektor serangan biasa, seperti suntikan SQL, serangan skrip merentas tapak, dsb.
Penyerang biasanya menggunakan kaedah POST dan GET dalam kaedah permintaan HTTP untuk menyerang. Untuk mengelakkan serangan, penggunaan kaedah permintaan HTTP boleh dihadkan. Tambahkan kod berikut pada fail konfigurasi Nginx untuk mengehadkan permintaan GET sahaja:
jika ($request_method !~ ^(GET)$ ){
kembali 412;
}
Kod di atas boleh mengehadkan penggunaan kaedah permintaan HTTP selain GET, dan kod status pemulangan ialah 412. Ini boleh meningkatkan keselamatan pelayan, tetapi juga boleh menjejaskan aplikasi WEB tertentu.
3. Ringkasan
Serangan pembolehubah penunjuk ialah salah satu vektor serangan biasa dalam aplikasi WEB. Pasukan pembangunan harus mengambil langkah keselamatan asas, menambah ciri keselamatan tambahan pada aplikasi WEB, dan menggunakan modul keselamatan yang disediakan oleh Nginx untuk pencegahan keselamatan. Langkah-langkah ini berkesan boleh menghalang serangan pembolehubah penunjuk dan meningkatkan keselamatan aplikasi WEB.
Atas ialah kandungan terperinci Bagaimana untuk mengelakkan serangan pembolehubah penunjuk dalam Nginx. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!