草庐IT

Nginx漏洞

全部标签

Nginx配置ssl证书(https证书)

https协议是由SSL+http协议构建的安全协议,支持加密传输和身份认证,安全性比http要更好,因为数据的加密传输,更能保证数据的安全性和完整性。安装nginx1.启动容器:拉取镜像dockerpullnanlist/nginx1.23.1:v1.0新建目录并授权,/home/ssl-nginx/conf,/home/ssl-nginx/logs执行启动命令:dockerrun-d--privileged=true--namessl-nginx-p80:80-p443:443-v/home/ssl-nginx/conf/nginx.conf:/etc/nginx/nginx.conf-v

四万台思科设备因未修补漏洞而遭到黑客攻击

据多家网络安全公司称,利用未修补的IOSXE漏洞遭到黑客攻击的思科设备数量已达到约40,000台。 所利用的漏洞是CVE-2023-20198,这是一个影响IOSXEWeb界面的严重缺陷,未经身份验证的远程攻击者可以利用该漏洞进行权限升级。 思科尚未发布补丁,该公司警告称,该漏洞至少从9月中旬起就已被作为零日漏洞利用。CVE-2023-20198允许威胁行为者在目标设备上创建高权限帐户并完全控制系统。在某些情况下,攻击者被发现提供了一个植入程序,使他们能够执行任意命令。 思科表示,在某些情况下,植入程序是通过跟踪为CVE-2021-1435的较旧缺陷提供的,但以前未知的漏洞也可能被利用,因为该

常见的Web安全漏洞有哪些,Web安全漏洞常用测试方法介绍

Web安全漏洞web应用一般是指B/S架构的通过HTTP/HTTPS协议提供服务的统称。在目前的Web应用中,大多数应用不都是静态的网页浏览,而是涉及到服务器的动态处理。如果开发者的安全意识不强,就会导致Web应用安全问题层出不穷。常见安全漏洞一、SQL注入SQL注入(SQLInjection)是最常见影响非常广泛的漏洞。攻击者通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令,从而入侵数据库来执行未授意的任意查询。SQL注入可能造成的危害有:网页、数据被篡改,核心数据被窃取,数据库所在的服务器被攻击,变成傀儡主机。例如有些网站没有使用

14. 从零开始编写一个类nginx工具, HTTP文件服务器的实现过程及参数

wmproxywmproxy将用Rust实现http/https代理,socks5代理,反向代理,静态文件服务器,后续将实现websocket代理,内外网穿透等,会将实现过程分享出来,感兴趣的可以一起造个轮子项目++wmproxy++gite:https://gitee.com/tickbh/wmproxygithub:https://github.com/tickbh/wmproxyHTTP文件服务器的意义HTTP文件服务器的意义是可以放置网站文件,可以放置数据文件。HTTP服务器一般指网站服务器,是指驻留于因特网上某种类型计算机的程序,可以处理浏览器等Web客户端的请求并返回相应响应。当前

15. 从零开始编写一个类nginx工具, 如果将nginx.conf转成yaml,toml,json会怎么样

wmproxywmproxy将用Rust实现http/https代理,socks5代理,反向代理,静态文件服务器,后续将实现websocket代理,内外网穿透等,会将实现过程分享出来,感兴趣的可以一起造个轮子法项目++wmproxy++gite:https://gitee.com/tickbh/wmproxygithub:https://github.com/tickbh/wmproxy了解三种格式JsonJSON是一种轻量级的数据交换格式,被广泛使用在Web应用程序之间传输数据。JSON使用大括号{}来表示数据结构,使用冒号:来连接键和值。JSON支持字符串、数字、布尔值、null、数组和对

13. 从零开始编写一个类nginx工具, HTTP中的压缩gzip,deflate,brotli算法

wmproxywmproxy将用Rust实现http/https代理,socks5代理,反向代理,静态文件服务器,后续将实现websocket代理,内外网穿透等,会将实现过程分享出来,感兴趣的可以一起造个轮子项目++wmproxy++gite:https://gitee.com/tickbh/wmproxygithub:https://github.com/tickbh/wmproxyHTTP中压缩的意义HTTP中压缩的意义在于降低了网络传输的数据量,从而提高客户端浏览器的访问速度。当然,同时也会增加一点服务器的负担。HTTP/1.1协议中压缩主要包括gzip压缩和deflate压缩两种方法。

Linux 使用Nginx部署web(vue、react)项目

前言本文基于:操作系统CentOS7.6使用的工具:Xshell7、Xftp71.安装所需依赖安装gccyum-yinstallgcc安装pcre、pcre-develyum-yinstallpcrepcre-devel安装zlib、zlib-develyuminstall-yzlibzlib-devel安装openssl、openssl-develyuminstall-yopensslopenssl-devel2.创建nginx文件夹这个文件夹存放的位置可以自定义,以下为示例(存放在usr/local下):cd/usr/localmkdirnginxcdnginx3.下载nginx安装包ng

Linux安装Nginx并配置启动命令

镜像下载、域名解析、时间同步请点击阿里云开源镜像站安装前准备工作因为Nginx依赖于gcc的编译环境,所以,需要安装编译环境来使Nginx能够编译起来yuminstallgcc-c++Nginx的http模块需要使用pcre来解析正则表达式,需要安装pcreyuminstall-ypcrepcre-devel安装依赖的解压包yuminstall-yzlibzlib-develssl功能需要openssl库,安装opensslyuminstall-yopensslopenssl-devel下载Nginx可以自己建立一个包,将nginx下载到这个路径,我设置的路径/opt/crm/nginx如果需

安全研究人员如何通过漏洞悬赏计划侵入了汽车公司

2023年8月21日,安全研究人员兼HackerOne顾问委员会成员CorbenLeo在社交媒体上宣布,他侵入了一家汽车公司,随后发布了一则帖子,解释如何获得了数百个代码库的访问权限。Corben参加了由这家汽车制造商发起的漏洞悬赏计划。漏洞悬赏是众多行业一种非常普遍的做法,旨在奖励道德黑客发现问题并以负责任的方式报告问题,这种做法久经时间的考验,为许多公司带来了显著的效果。与此同时,有报道称与其他行业相比,汽车制造商支付的漏洞赏金往往少得多。就本文这个案例而言,这家汽车公司给出了合理的奖励,Corben也有合理的动机去发现和报告这个可能引发危机的漏洞。Corben在帖子中阐述了其攻击方法。简

立即打补丁!Atlassian Confluence 曝出高危漏洞

近日,CISA、FBI和MS-ISAC警告网络管理员立即为其AtlassianConfluence服务器更新安全补丁,以防止网络攻击者中主动利用严重性漏洞CVE-2023-22515。据悉,CVE-2023-22515漏洞是一个关键权限提升漏洞,主要影响Confluence数据中心和服务器8.0.0及更高版本,可在不需要用户交互的低复杂度攻击活动中被远程利用。10月4日,Atlassian在发布安全更新建议客户尽快将其Confluence实例升级到8.3.3或更高版本、8.4.3或更低版本、8.5.2或更低版本,原因就是CVE-2023-22515漏洞已经在野外被利用。对于无法立刻升级的用户,