Nginx在使用過程中會有幾個比較關鍵的安全性問題需要注意的���,在這里調幾個重點的分析一下,并且提供解決方法�。
問題一:惡意抓取和盜用行為。
解決辦法:
打開服務器的基礎防盜鏈功能:避免惡意用戶輕而易舉的爬取到網站的對外數據。
secure_link_module模塊:對數據安全性提高加密驗證和失效性�,對一些重要數據使用,access_module模塊:對后臺���、部分用戶服務的數據提供IP監控���,如規定IP等,應用層攻擊����。
問題二:密碼在后臺發生撞庫,指通過密碼字典對后臺系統進行常識性的登錄���,然后獲取后臺密碼�。
解決辦法:
把后臺密碼進行復雜化����,利用大小寫數字字符號等等,開啟預警機制����,同一IP的頻繁訪問。access_module模塊:對后臺���、部分用戶服務的數據提供IP監控����。
問題三:文件上傳出現漏洞,利用可上傳的漏洞接口將病毒代碼植入服務器中�,再通過url訪問來執行�。
解決辦法:
針對一些木馬病毒和后綴等做出安全的處理。
問題四:SQL注入�,用沒有過濾或還沒審核的用戶輸入的攻擊手段,讓程序運行本不應該運行的SQL代碼����。
解決辦法:
針對' or 1=1 #等常見注入代碼進行檢測,配置安全的waf����,針對滲透的規則編寫正確的表達式。
nginx防攻擊策略:使用nginx+Lua配置安全的waf防火墻���,防火墻功能如下:
防止Cookie類型攻擊����,
防止異常post請求���,
防止cc攻擊����,頻繁訪問,
防止URL�,不想暴露的接口,
防止arg參數���。
