Nginx常见的错误配置举例

本站所有内容来自互联网收集,仅供学习和交流,请勿用于商业用途。如有侵权、不妥之处,请第一时间联系我们删除!Q群:迪思分享
免费资源网 – https://freexyz.cn/

Nginx是当前主流的Web服务。 以下是一些最常见的错误配置。

Missing root location

server {
root /etc/nginx;

location /hello.txt {
try_files $uri $uri/ =404;
proxy_pass http://127.0.0.1:8080/;
}
}

root指令指定Nginx的根目录。 在上面的示例中,根目录是/etc/nginx,这意味着我们可以访问该目录下的文件。 上面的配置没有/的位置(location / {…}),只有/hello.txt的位置。 因此,将对root指令进行全局设置,这意味着对/的请求会将您带到本地路径/etc/nginx。

像GET /nginx.conf这样简单的请求将显示存储在/etc/nginx/nginx.conf中的Nginx配置文件的内容。 如果将根设置为/etc,则对/nginx/nginx.conf的GET请求将显示配置文件。 在某些情况下,可能会访问其他配置文件,访问日志甚至HTTP基本身份验证的加密凭据。

在我们收集的近50,000个Nginx配置文件中,最常见的根路径如下:

Nginx常见的错误配置举例插图

Off-By-Slash

server {
listen 80 default_server;

server_name _;

location /static {
alias /usr/share/nginx/static/;
}

location /api {
proxy_pass http://apiserver/v1/;
}
}

借助Off-by-slash配置错误,由于缺少/,因此有可能沿路径上移一步。 Orange Tsai在Blackhat的演讲“ Breaking Parser Logic!”中使这项技术广为人知。 在本次演讲中,他展示了location指令与alias指令结合使用的缺失斜杠如何使读取Web应用程序的源代码成为可能。 鲜为人知的是,它还可以与其他指令(例如proxy_pass)一起使用。 让我们来分解一下正在发生的事情以及它为什么起作用。

location /api {
proxy_pass http://apiserver/v1/;
}

如果Nginx服务器可以访问以下配置,则可以假定只能访问http://apiserver/v1/下的路径。

http://server/api/user –


© 版权声明
THE END
★喜欢这篇文章吗?喜欢的话,麻烦动动手指支持一下!★
点赞15 分享
评论 抢沙发

请登录后发表评论

    暂无评论内容