NGINX配置目录遍历漏洞的解决
作者:zcfeng530
目录遍历是一种安全漏洞,通常会影响Nginx服务器上的Web应用程序,本文就来介绍一下NGINX配置目录遍历漏洞的解决,感兴趣的可以了解一下
一、上nginx配置
二、 测试访问
三、模拟穿越目录访问
根目录下的所有文件都可以访问,还可以下载至本地进行分析利用。
四、漏洞产生原因
在配置alias路径目录时,没有对location的匹配内容进行严格控制。
关于location匹配控制
1.没有"/"结尾时,location /a/bc可以匹配/a/bcdef请求,也可以匹配/a/bc/def等
2.而有"/"结尾时,location /a/bc/不能匹配/a/bcdef请求,只能匹配/a/bc/anything这样的请求
五、整改并验证
修改nginx配置文件,并重启NGINX,浏览器访问http://192.168.88.179/test../etc/
完美解决!
到此这篇关于NGINX配置目录遍历漏洞的解决的文章就介绍到这了,更多相关NGINX 目录遍历漏洞内容请搜索脚本之家以前的文章或继续浏览下面的相关文章希望大家以后多多支持脚本之家!