学习整理nginx常用屏蔽规则,让网站更安全注意一、防止文件被下载二、屏蔽非常见蜘蛛(爬虫)三、禁止某个目录执行脚本四、屏蔽某个IP或IP段注意在开始之前,希望您已经熟悉的Nginx常用命令(如停止,重启等操作)及排查nginx的错误日志,以免出现问题不知所措。如无特殊注明,的以下命令:均添加到server段内,修改nginx的配置之前务必做好备份,修改完毕后需要重载一次nginx的,否则不会生效。一、防止文件被下载比如将网站数据库导出到站点根目录进行备份,很有可能也会被别人下载,从而导致数据丢失的风险。以下规则可以防止一些常规的文件被下载,可根据实际情况增减。location~\.(zip|
本周AMD和英特尔两大处理器厂商双双曝出影响广泛的高危漏洞,攻击者可利用这些漏洞提升权限、远程执行代码,并泄漏敏感信息。AMD处理器的漏洞可导致Linux虚拟机遭受黑客攻击,而英特尔处理器的漏洞则影响其全线产品和架构,并可能给云计算厂商带来巨大损失。AMDCachWarp漏洞可导致Linux虚拟机被黑客攻击AMD本周三发布安全公告,称在部分处理器的INVD指令中发现了CacheWarp漏洞,可能会导致SEV-ES和SEV-SNP(安全加密虚拟化安全嵌套分页)客户虚拟机内存完整性丢失。该漏洞可让恶意攻击者破解受AMDSEV保护的虚拟机,提升权限并获得远程代码执行。AMD表示:“某些AMDCPU中
声明:此文章仅用于学习使用漏洞简介: redis默认情况下,绑定在0.0.0.0:6379,若没有采用相关的策略,如添加防火墙规则避免其他非信任来源ip访问等,会将redis服务暴露到公网上。如果在没有设置密码认证(一般为空)的情况下,会导致任意用户在可以访问目标服务器的情况下未授权访问redis以及读取redis的数据。攻击者在未授权访问redis的情况下,利用redis自身的提供的config命令,可以进行写文件操作,从而可以将自己编写生成的ssh公钥写入目标服务器的/root/.ssh文件夹的authotrized_keys文件中,进而使用对应私钥通过ssh服务登录目标服务
Ingress是对集群中服务的外部访问进行管理的API对象,典型的访问方式是HTTP。Ingress可以提供负载均衡、SSL终结和基于名称的虚拟托管官方说明如下:你必须拥有一个Ingress控制器才能满足Ingress的要求。仅创建Ingress资源本身没有任何效果你可能需要部署Ingress控制器,例如ingress-nginx。你可以从许多Ingress控制器中进行选择。通过以下的链接我们找到了官方安装网址InstallationGuide-Ingress-NginxController这里介绍了三种方法withHelm,usingtheprojectrepositorychart;wit
-Nginx和Tomcat作用一样吗?答:不完全相同。Nginx和Tomcat都可以作为Web服务器,但它们的作用略有不同。Nginx是一个高性能的Web服务器和反向代理服务器。它的主要作用是提供静态文件服务、反向代理、负载均衡、缓存、SSL加密等功能。Nginx的优势在于它能够高效地处理大量并发的连接和请求,具有较低的延迟和较高的吞吐量,能够承受高流量的网站和应用程序的访问压力。Tomcat是一个JavaWeb应用服务器,它的主要作用是提供JavaWeb应用程序的服务。Tomcat支持Servlet和JSP技术,能够从前端接收HTTP请求,处理请求并生成响应,还可以与数据库等其他后端服务进行
一、初识XSS(CrossSiteScripting)1.1、什么是XSS?XSS全称跨站脚本(CrossSiteScripting),为避免与层叠样式表(CascadingStyleSheets,CSS)的缩写混淆,故缩写为XSS。这是一种将任意Javascript代码插入到其他Web用户页面里执行以达到攻击目的的漏洞。攻击者利用浏览器的动态展示数据功能,在HTML页面里嵌入恶意代码。当用户浏览改页时,这些潜入在HTML中的恶意代码会被执行,用户浏览器被攻击者控制,从而达到攻击者的特殊目的,如cookie窃取等。1.2、XSS产生原因、漏洞原理形成XSS漏洞的主要原因是程序对输入和输出的控制
问题:每次使用psaux|grep服务名命令查询某个服务的进程时,总会出现一条grep--color=auto服务名例如:psaux|grepnginx#会出现图片中的情况解答:这是因为grep也是一条命令,它在输出时,会把grep服务名也当做一个进程输出,假如使用grep命令查询某个服务的进程号,结果只显示一条grep--color=auto服务名。则说明虚拟机中没有改服务的进程。ChatGPT解答:因为psaux命令会列出当前系统中所有的进程信息,而grepnginx是用于筛选出包含“nginx”关键字的行。由于grep命令本身也被包括在进程列表中,所以它也会被psaux命令找到并显示出来
十、CSRF漏洞保护简介CSRF(Cross-SiteRequestForgery跨站请求伪造),也可称为一键式攻击(one-click-attack)通常缩写为CSRF或者XSRF。CSRF攻击是一种挟持用户在当前已登录的浏览器上,发送恶意请求的攻击方法。相对于XSS利用用户对指定网站的信任。CSRF则是利用网站对用户网页浏览器的信任。简单来说,CSRF是致击者通过一些技术手段欺骗用户的浏览器,去访问一个用户曾经认证过的网站并执行恶意请求,例如发送邮件、发消息、甚至财产操作(如转账和购买商品)。由于客户端(浏览器)已经在该网站上认证过,所以该网站会认为是真正用户在操作而执行请求(实际上这个并
一、背景RTF(RichTextFormat)是一种文本文件格式,被广泛应用于各种办公软件,如MicrosoftOffice、OpenOffice等。RTF文件格式可以包含文本、图像、表格等多种类型的数据。近日,安全专家发现了一种最新的RTFRCE(远程代码执行)漏洞(CVE-2023-21716),可能会导致恶意攻击者在受害者计算机上执行任意代码。二、漏洞介绍RTF文件中的漏洞是由于RTF文件处理器在解析文本内容时存在缺陷。攻击者可以利用特殊构造的RTF文件来欺骗受害者执行恶意代码。具体来说,攻击者可以在RTF文件中插入恶意代码,然后将RTF文件发送给受害者,一旦受害者打开该文件,恶意代码就
背景随着业务发展,用户访问量激增,单台服务器已经无法满足现有的访问压力,研究后需要将后台服务从原来的单台升级为多台服务器,那么原来的访问方式无法满足,所以引入nginx来代理多台服务器,统一请求入口。什么是nginxNginx[enginex]是一个免费开源Web服务器,是一个HTTP和反向代理服务器,邮件代理服务器,和一个通用的TCP/UDP代理服务器,最初由俄罗斯软件工程师IgorSysoev撰写。nginx专注于高性能、高并发性和低内存使用率。能够在高并发下给网站提供稳定的服务。相关概念正向代理请求概述:客户端C知道资源D在服务器A中,但是无法直接访问服务器A,此时知道服务器N与服务器A
