nginx 配置错误导致目录遍历漏洞的解决方法

当前位置: > Linux服务器 > nginx >

nginx 配置错误导致目录遍历漏洞的解决方法

时间:2014-07-04 01:15来源:linux.it.net.cn 作者:IT网

漏洞版本:
nginx(Tested at 1.1.10)

漏洞描述:
在nginx中开启autoindex，配置不规范而造成目录遍历漏洞。

配置如下：

复制代码代码示例:

	  server {

	    listen 80;

	    server_name it.net.cn;

	    index index.htm index.html;

	    root /home/wwwroot/www;

	    access_log off;

	    location /paper {

	    alias /home/wwwroot/paper/;

	    autoindex on;

	    }

	    }

注意这里/home/wwwroot/paper/; 有个/
当浏览http://it.net.cn/paper/,正常情况应该遍历/home/wwwroot/paper/这个目录，但如果访问http://it.net.cn/paper../则会遍历/home/wwwroot/这个目录。

安全建议:
使用如下配置

复制代码代码示例:

	location /paper {

	    alias /home/wwwroot/paper;

	或

	location /paper/ {

	    alias /home/wwwroot/paper/;

(责任编辑：IT)

------分隔线----------------------------

上一篇：Nginx使用Linux内存加速静态文件访问的配置方法
下一篇：nginx禁止未绑定域名访问的配置方法

栏目列表

推荐内容

Nginx学习之如何防止流量攻击
使用场景最近，报告查询系统负载均衡集群相关配置已经完成，两种实现方式分别是基于E...
nginx查看配置文件nginx.conf路径
当你执行 nginx -t 得时候，nginx会去测试你得配置文件得语法，并告诉你配置文件是否...
NGINX安全性配置
本文将介绍一些SSL安全性的配置，以此提升网站的安全等级。先给出本博客的SSL配置： s...
高并发下的 Nginx 优化方案
我已经谈过一些关于 Nginx 的常见问题，其中有一些是关于如何优化Nginx，很多Nginx新...
Nginx添加nginx_lua_module模块
nginx_lua_module是由淘宝的工程师清无（王晓哲）和春来（章亦春）所开发的nginx第三...
Nginx访问限速配置
用Nginx建站的同学，常会有限速需求。开发测试阶段在本地限速模拟公网的环境，方便调...

热点内容

搜索

热门标签:

nginx 配置错误导致目录遍历漏洞的解决方法