首页 > 系统相关 >如何正确配置 Nginx 来防止任意文件读取攻击?

如何正确配置 Nginx 来防止任意文件读取攻击?

时间:2024-08-09 16:29:40浏览次数:13  
标签:www 读取 alias Nginx static 使用 merge 任意

  1. 限制 alias 指令的使用: 使用 alias 指令时,确保路径不会导致路径遍历漏洞。避免使用用户输入作为 alias 的一部分。

  2. 组合使用 root 和 alias

    server {
              root /var/www;
              location /static {
             alias /var/www/public/static;
              }
    }

  3. 避免使用 merge_slashes: 如果你的应用程序不需要处理重复斜杠的 URI,避免使用 merge_slashes on;。这可以防止一些路径遍历攻击。

标签:www,读取,alias,Nginx,static,使用,merge,任意
From: https://www.cnblogs.com/cnhk19/p/18350959

相关文章

  • java读取JSON文件并解析
    importcom.fasterxml.jackson.core.type.TypeReference;importcom.fasterxml.jackson.databind.ObjectMapper;importorg.codehaus.jettison.json.JSONObject;importjava.nio.file.Files;importjava.nio.file.Paths;importjava.util.List;importjava.util.Map;......
  • 如何使用 Python 从 Excel 工作表中读取正斜杠
    我有20多列的Excel工作表,如果我想选择不包含文本n/a的行,是否可以将n/a作为文本传递并找到它?我尝试过的代码是,''''将pandas导入为pd进口重新导入操作系统defextract_data(input_file):#读取输入的Excel文件df=pd.read_excel(input_file)#Checkif'......
  • 读取EXCEL数据导入到oracle
    importpandasaspdimportcx_Oraclefromdatetimeimportdatetime#数据库连接信息username='****'#替换为您的用户名password='****'#替换为您的密码dsn='192.168.10.216:1521/ORCL'#替换为您的数据源名称#读取Excel文件excel_file=......
  • Nginx教程(一):Windows环境下载Nginx和安装详细教程
    Nginx下载下载地址:nginx:download解压查看配置文件启动Nginx双击nginx.exe文件或者在CMD窗口输入 nginx.exe访问Nginx浏览器访问http://localhost:80,查看是否启动成功 看到Welcometonginx!说明已经启动......
  • OneKeyAdmin 后台任意文件下载
    侵权声明本文章中的所有内容(包括但不限于文字、图像和其他媒体)仅供教育和参考目的。如果在本文章中使用了任何受版权保护的材料,我们满怀敬意地承认该内容的版权归原作者所有。如果您是版权持有人,并且认为您的作品被侵犯,请通过以下方式与我们联系:[[email protected]]。我们将在确......
  • 【漏洞复现】致远OA多个任意文件上传批量检测验证
    目录 wpsAssistServlet任意文件上传》》》漏洞描述《《《》》》影响范围《《《》》》环境搭建《《《》》》漏洞复现《《《ajax.do任意文件上传CNVD-2021-01627漏洞》》》漏洞描述《《《》》》影响范围《《《》》》漏洞复现《《《A6htmlofficeservlet任意文件上......
  • 任意文件下载&上传
    免责声明免责声明:文章所涉及内容,仅供安全研究与教学之用,由于传播、利用本文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何法律及连带责任。任意文件下载原理下载文件的文件名称可控,攻击者可路径遍历下载敏感文件download?fi......
  • docker 构建nginx
     1、查看可用的Nginx版本 dockersearchnginx 2、取最新版的Nginx镜像这里我们拉取官方的最新版本的镜像:$dockerpullnginx:latest3、查看本地镜像使用以下命令来查看是否已安装了nginx:$dockerimages 4、运行容器安装完成后,我们可以使用以下命令来运......
  • R语言读取和修改 fcs文件
    记住要从上往下一个一个包的安装,已经安装了的就不用安装,如果就是读取和修改fcs文件,只需要安装flowCore包就可以了。if(!requireNamespace("BiocManager",quietly=TRUE))install.packages("BiocManager")##数据源:BiocManager::install("flowWorkspaceData")##数据......
  • 域控安全:读取ntds.dit文件中的hash值
    多种方式离线读取ntds.dit文件中的hash值多种方式在线读取ntds.dit文件中的hash值多种方式离线读取ntds.dit文件中的hash值离线一般需要两步:1、将远端域控的ntds.dit下载到本地,2、然后利用再在本地进行。注意:因为system.hive里存放着ntds.dit的秘钥,所以需要转储......