Nginx漏洞利用与安全加固
2014-04-09 16:59
483 查看
本文主要分为两大部分,第一部分介绍了Nginx的一些常见安全漏洞的形成原因、利用方法,并给出了相应的解决办法;第二部分介绍了Nginx安全加固时需要关注的主要内容。
Nginx(发音同engine x)是一款轻量级的Web服务器/反向代理服务器及电子邮件(IMAP/POP3)代理服务器,由俄罗斯的程序设计师Igor Sysoev所开发,可以稳定地运行在Linux、Windows等操作系统上,其特点是占用内存少,并发能力强。
同其他软件一样,Nginx也出现过一些安全漏洞,利用这些漏洞可以对Web服务器进行******。
下面我们通过实例来介绍几个关于Nginx的安全漏洞,以及相应的漏洞利用方法。
Nginx漏洞分析实例
Nginx文件类型错误解析漏洞
在2010年的时候,国内安全组织80Sec发现了一个Nginx文件类型解析漏洞,但实际上这个并非Nginx本身的漏洞,而是由于配置导致的安全问题。下面我们详细分析一下这个漏洞。
漏洞分析:Nginx默认是以CGI的方式支持PHP解析的,普遍的做法是在Nginx配置文件中通过正则匹配设置SCRIPT_FILENAME。配置文件中会有类似如下内容,如图1所示。
图1
location对请求进行选择的时候会使用URI环境变量进行选择,其中传递到后端Fastcgi的关键变量SCRIPT_FILENAME是由Nginx生成的$fastcgi_script_name来决定的。而通过分析可以看到$fastcgi_script_name是直接由URI环境变量控制的,这里就是产生问题的点。当访问http://192.168.1.103/phpinfo.jpg/1.php这个URL时,$fastcgi_script_name会被设置为“phpinfo.jpg/1.php”,然后构造成SCRIPT_FILENAME传递给PHP CGI,但是PHP为什么会接受这样的参数,并将phpinfo.jpg作为PHP文件解析呢?
这就要说到fix_pathinfo这个选项了,如图2所示。
图2
如果开启了这个选项,那么就会触发在PHP中的如下逻辑,如图3所示。
图3
到这里,PHP会认为SCRIPT_FILENAME是phpinfo.jpg,而1.php是PATH_INFO,所以就会将phpinfo.jpg作为PHP文件来解析了。
漏洞危害:利用该漏洞,***者可以将任意文件类型作为PHP文件解析,***者通常利用该漏洞来获取到一个WebShell。
漏洞利用:假设某一服务器存在该漏洞,***者可以通过上传一张包含PHP后门代码的图片来获取WebShell,这是一种常见的***方式,如图4所示。
图4
解决方案:这里介绍两种解决方案:一、修改php.ini文件,将cgi.fix_pathinfo的值设置为0;二、在Nginx配置文件中添加以下代码:
if ( $fastcgi_script_name ~ \..*\/.*php ) {
return 403;
}
这行代码的意思是当匹配到类似test.jpg/a.php的URL时,将返回403错误代码,如图5所示。
图5
Nginx配置错误而导致目录遍历漏洞
在Nginx的配置文件中如果开启了autoindex选项,并采用类似下面的配置时会造成目录遍历漏洞,如图6所示。
图6
当访问http://192.168.1.103/test/这个URL时,正常情况应该遍历html/test/这个目录,但是如果访问http://192.168.1.103/test../这个URL时,则会遍历上一级目录(html/)了。
下面我们通过一个实例来演示下这个漏洞,先来看下正常访问时返回的页面,如图7所示。
图7
现在我们再来看下漏洞被触发后返回的页面,如图8所示。
图8
通过图8所示的返回结果,我们可以看到利用该漏洞我们成功遍历到了其上一级目录。
下面提供两种方法来解决这个问题,从中选择一种即可,具体配置如下图9所示。
图9
现在我们再来验证下当采用上面的代码加固Nginx以后,服务器是否还存在漏洞。
图10
从图10的返回结果可以看到漏洞没有被触发,而是返回了404页面,说明漏洞被修复。
Nginx安全加固
针对Nginx的安全加固,主要从以下两个方面考虑:一、Nginx Web Server程序本身是否安全,如是否存在安全漏洞;二、Nginx Web Server是否提供了可使用的安全功能,这部分主要是检查Nginx的配置是否得当,是否存在由于配置失误导致的安全问题。
Nginx版本的选择与安装注意事项
在选择Nginx版本时,需要关注是否存在安全漏洞和版本的稳定性。一般选择最新的稳定版本,这样可以在稳定性和安全之间取得一个平衡。在升级Nginx版本前建议先在测试环境中测试通过后再正式升级,以避免由于兼容性带来其他不可预知的问题。
关于Nginx的安全漏洞可以关注Nginx官方发布的安全公告(http://nginx.org/en/security_advisories.html)或到其他一些漏洞发布平台上查找。
在安装Nginx时建议使用自定义安装路径,如果采用默认安装路径,很容易被***者和一些自动化***工具猜测到,为其进行下一步的***提供便利。
Nginx安全配置
1. 修改/隐藏Nginx Banner信息
***者在对目标服务器进行******前,通常会有一个目标信息收集阶段,这个阶段的任务就是通过各种手段获取到目标服务器的信息,如获取目标服务器的系统版本、Web、数据库的类型及相关信息,这个阶段获取到的信息将直接关系到***者下一步采取的***手段。因此,修改/隐藏Nginx的相关信息将在一定程度上可以增大***者的***难度,也可以骗过一些自动化***工具。
在Linux平台下以源码方式安装Nginx时,可以通过修改“src/core/nginx.h”中的信息来达到隐藏或自定义Banner信息的目的。
我们先来看下nginx.h这个文件中默认的内容,类似图11所示。
图11
这时当我们访问Nginx服务器时,Server字段会返回真实的Banner信息,如图12所示。
图12
现在我们来自定义nginx.h中关于Banner信息的内容,可参考图13。
图13
修改完成后,重新编译Nginx,然后安装即可。安装完成后,我们再来访问下该Nginx服务器,发现这时Server返回的内容为自定义的Banner信息了,如图14所示。
图14
2. Nginx日志安全
不论在那种服务器上,日志都是一个非常重要的部分,我们需要对它严加保护。在Nginx上也是如此。Nginx的日志默认存放在安装目录的logs目录下,首先要修改日志的默认保存路径,然后设置只允许管理员有日志存放目录的完全控制权限。
3. Nginx权限设置
Nginx权限设置分为Nginx运行权限设置和网站目录权限设置两部分。
Nginx运行权限是指Nginx以什么权限运行,以管理员权限运行是一个非常糟糕的决定。这样的后果是***者一旦***成功,将直接获取到一个高权限的WebShell。因此,我们需要设置Nginx以一个低权限的身份运行,可通过修改“Nginx.conf”这个配置文件来实现。
网站目录权限设置则要遵循以下原则:
a) 如果目录有写入权限,一定不要分配执行权限
b) 如果目录有执行权限,一定不要分配写入权限
c) 网站上传目录和数据库目录一般需要分配“写入”权限,但一定不要分配执行权限
d) 其他目录一般只分配“读取”权限即可
Nginx(发音同engine x)是一款轻量级的Web服务器/反向代理服务器及电子邮件(IMAP/POP3)代理服务器,由俄罗斯的程序设计师Igor Sysoev所开发,可以稳定地运行在Linux、Windows等操作系统上,其特点是占用内存少,并发能力强。
同其他软件一样,Nginx也出现过一些安全漏洞,利用这些漏洞可以对Web服务器进行******。
下面我们通过实例来介绍几个关于Nginx的安全漏洞,以及相应的漏洞利用方法。
Nginx漏洞分析实例
Nginx文件类型错误解析漏洞
在2010年的时候,国内安全组织80Sec发现了一个Nginx文件类型解析漏洞,但实际上这个并非Nginx本身的漏洞,而是由于配置导致的安全问题。下面我们详细分析一下这个漏洞。
漏洞分析:Nginx默认是以CGI的方式支持PHP解析的,普遍的做法是在Nginx配置文件中通过正则匹配设置SCRIPT_FILENAME。配置文件中会有类似如下内容,如图1所示。
图1
location对请求进行选择的时候会使用URI环境变量进行选择,其中传递到后端Fastcgi的关键变量SCRIPT_FILENAME是由Nginx生成的$fastcgi_script_name来决定的。而通过分析可以看到$fastcgi_script_name是直接由URI环境变量控制的,这里就是产生问题的点。当访问http://192.168.1.103/phpinfo.jpg/1.php这个URL时,$fastcgi_script_name会被设置为“phpinfo.jpg/1.php”,然后构造成SCRIPT_FILENAME传递给PHP CGI,但是PHP为什么会接受这样的参数,并将phpinfo.jpg作为PHP文件解析呢?
这就要说到fix_pathinfo这个选项了,如图2所示。
图2
如果开启了这个选项,那么就会触发在PHP中的如下逻辑,如图3所示。
图3
到这里,PHP会认为SCRIPT_FILENAME是phpinfo.jpg,而1.php是PATH_INFO,所以就会将phpinfo.jpg作为PHP文件来解析了。
漏洞危害:利用该漏洞,***者可以将任意文件类型作为PHP文件解析,***者通常利用该漏洞来获取到一个WebShell。
漏洞利用:假设某一服务器存在该漏洞,***者可以通过上传一张包含PHP后门代码的图片来获取WebShell,这是一种常见的***方式,如图4所示。
图4
解决方案:这里介绍两种解决方案:一、修改php.ini文件,将cgi.fix_pathinfo的值设置为0;二、在Nginx配置文件中添加以下代码:
if ( $fastcgi_script_name ~ \..*\/.*php ) {
return 403;
}
这行代码的意思是当匹配到类似test.jpg/a.php的URL时,将返回403错误代码,如图5所示。
图5
Nginx配置错误而导致目录遍历漏洞
在Nginx的配置文件中如果开启了autoindex选项,并采用类似下面的配置时会造成目录遍历漏洞,如图6所示。
图6
当访问http://192.168.1.103/test/这个URL时,正常情况应该遍历html/test/这个目录,但是如果访问http://192.168.1.103/test../这个URL时,则会遍历上一级目录(html/)了。
下面我们通过一个实例来演示下这个漏洞,先来看下正常访问时返回的页面,如图7所示。
图7
现在我们再来看下漏洞被触发后返回的页面,如图8所示。
图8
通过图8所示的返回结果,我们可以看到利用该漏洞我们成功遍历到了其上一级目录。
下面提供两种方法来解决这个问题,从中选择一种即可,具体配置如下图9所示。
图9
现在我们再来验证下当采用上面的代码加固Nginx以后,服务器是否还存在漏洞。
图10
从图10的返回结果可以看到漏洞没有被触发,而是返回了404页面,说明漏洞被修复。
Nginx安全加固
针对Nginx的安全加固,主要从以下两个方面考虑:一、Nginx Web Server程序本身是否安全,如是否存在安全漏洞;二、Nginx Web Server是否提供了可使用的安全功能,这部分主要是检查Nginx的配置是否得当,是否存在由于配置失误导致的安全问题。
Nginx版本的选择与安装注意事项
在选择Nginx版本时,需要关注是否存在安全漏洞和版本的稳定性。一般选择最新的稳定版本,这样可以在稳定性和安全之间取得一个平衡。在升级Nginx版本前建议先在测试环境中测试通过后再正式升级,以避免由于兼容性带来其他不可预知的问题。
关于Nginx的安全漏洞可以关注Nginx官方发布的安全公告(http://nginx.org/en/security_advisories.html)或到其他一些漏洞发布平台上查找。
在安装Nginx时建议使用自定义安装路径,如果采用默认安装路径,很容易被***者和一些自动化***工具猜测到,为其进行下一步的***提供便利。
Nginx安全配置
1. 修改/隐藏Nginx Banner信息
***者在对目标服务器进行******前,通常会有一个目标信息收集阶段,这个阶段的任务就是通过各种手段获取到目标服务器的信息,如获取目标服务器的系统版本、Web、数据库的类型及相关信息,这个阶段获取到的信息将直接关系到***者下一步采取的***手段。因此,修改/隐藏Nginx的相关信息将在一定程度上可以增大***者的***难度,也可以骗过一些自动化***工具。
在Linux平台下以源码方式安装Nginx时,可以通过修改“src/core/nginx.h”中的信息来达到隐藏或自定义Banner信息的目的。
我们先来看下nginx.h这个文件中默认的内容,类似图11所示。
图11
这时当我们访问Nginx服务器时,Server字段会返回真实的Banner信息,如图12所示。
图12
现在我们来自定义nginx.h中关于Banner信息的内容,可参考图13。
图13
修改完成后,重新编译Nginx,然后安装即可。安装完成后,我们再来访问下该Nginx服务器,发现这时Server返回的内容为自定义的Banner信息了,如图14所示。
图14
2. Nginx日志安全
不论在那种服务器上,日志都是一个非常重要的部分,我们需要对它严加保护。在Nginx上也是如此。Nginx的日志默认存放在安装目录的logs目录下,首先要修改日志的默认保存路径,然后设置只允许管理员有日志存放目录的完全控制权限。
3. Nginx权限设置
Nginx权限设置分为Nginx运行权限设置和网站目录权限设置两部分。
Nginx运行权限是指Nginx以什么权限运行,以管理员权限运行是一个非常糟糕的决定。这样的后果是***者一旦***成功,将直接获取到一个高权限的WebShell。因此,我们需要设置Nginx以一个低权限的身份运行,可通过修改“Nginx.conf”这个配置文件来实现。
网站目录权限设置则要遵循以下原则:
a) 如果目录有写入权限,一定不要分配执行权限
b) 如果目录有执行权限,一定不要分配写入权限
c) 网站上传目录和数据库目录一般需要分配“写入”权限,但一定不要分配执行权限
d) 其他目录一般只分配“读取”权限即可
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- Nginx漏洞利用与安全加固
- Nginx漏洞利用与安全加固
- Nginx漏洞利用与安全加固
- Apache漏洞利用与安全加固实例分析
- 天才少年利用Steam的漏洞上传奇葩游戏 平台安全如何加固
- Apache漏洞利用与安全加固实例分析
- 第四章:iOS应用漏洞利用 ——4.5 数据和文件安全
- OpenSSH复制块远程拒绝服务漏洞--openssh-server漏洞安全加固
- 如何在Ubuntu 14.04中利用Let's Encrypt保障Nginx安全
- 如何利用Axis2默认口令安全漏洞入侵WebService网站 推荐
- 安全培训教程之------上传文件漏洞利用
- 【安全牛学习笔记】手动漏洞挖掘-SQL注入XSS-简介、跨站脚本检测和常见的攻击利用手段
- 解决 nginx server (ubuntu)上安全漏洞 OpenSSL AES-NI Padding Oracle MitM Information Disclosure
- 一次利用nginx漏洞的木马事件
- android安全以及root利用的漏洞
- 浅谈:APP有哪些常被黑客利用的安全漏洞
- Nginx安全加固配置手册
- 利用360安全防护代码加固你的网店、网站
- Nginx + PHP CGI的fix_pathinfo安全漏洞
- nginx 安全加固心得