👻
security
  • 计算机技术
  • OWASP TOP 10
  • 名词解释
  • 1
    • 常见端口利用
    • F5 big-ip从环境搭建到漏洞复现
    • 红队资源
  • About
    • APT
      • 海莲花(APT-C-00)
        • 样本分析
      • 毒云藤(APT-C-01)
        • 大规模钓鱼攻击活动披露
        • 2020上半年针对我重要机构定向攻击活动揭秘
      • 响尾蛇(T-APT-04)
        • 利用WebSocket隧道的新型攻击活动披露
      • 蔓灵花(APT-C-08)
        • 移动平台攻击活动揭露
      • 蓝宝菇(APT-C-12)
        • 组织使用云存储技术发起的最新攻击活动披露
      • 双尾蝎组织(APT-C-23)
        • 针对中东地区的最新攻击活动
      • Lazarus(APT-C-26)
        • 暴风行动 -利用MATA框架针对数字货币行业的攻击活动揭秘
      • Fancy Bear(APT-C-28)
        • 携小众压缩包诱饵对北约、中亚目标的定向攻击分析
      • 肚脑虫组织(APT-C-35)
        • 使用升级版数字武器针对周边地区的攻击活动
        • 针对巴基斯坦的攻击活动
      • 拍拍熊(APT-C-37)
      • 军刀狮(APT-C-38)
      • 蓝色魔眼(APT-C-41)
        • 组织首次针对我国重要机构定向攻击活动披露
      • 美人鱼(Infy)
        • 使用最新的Foudre后门进行攻击活动的分析
    • 各类靶场讲解
      • sqli-labs
      • upload-labs
      • xss-labs
    • CISP题库
    • Docker
      • Docker基线
        • docker基线-概述
        • 推荐一
        • 推荐二
        • 推荐三
        • 推荐四
        • 推荐五
        • 推荐六
      • 命令与选项
      • 基于Docker的固件模拟
      • 固件相关
      • Docker 私有仓库搭建
      • 基础命令的背后
      • 渗透思路调研
      • Docker容器环境检测方法【代码】
    • 浏览器
    • markdown
    • 密码学
    • 内网渗透TIPS
    • 网络扫描
    • 正则表达式
  • 操作系统
    • Android
      • APK终端安全分析法
      • 应用审计指南
        • 通用审计方法
    • IOS
      • 应用审计指南
    • Linux
      • 反弹shell
      • 基线检查
      • SHELL编程
      • 实战技能
    • windows
      • BACKDOOR with 权限维持
      • 磁盘取证实验
      • 基线检查
      • 免杀抓取明文
      • payload下载方式
      • powershell
      • 日志分析
        • 分析工具
      • Untitled
  • 数据库
    • db2
    • mysql
      • webshell写入
      • 基础知识
      • 核心技术
      • 高级应用
    • oracle
      • webshell写入
    • SQLserver
      • webshell写入
  • 中间件
    • apache
      • 基线检查
      • 日志审计
    • iis
      • 基线检查
      • 7.5解析绕过漏洞
    • nginx
      • 基线检查
    • tomcat
      • 基线检查
  • 编程语言
    • C
    • Java
      • webshell
        • 查杀Java web filter型内存马
        • Filter/Servlet型内存马的扫描抓捕与查杀
        • 基于内存 Webshell 的无文件攻击技术研究
        • 基于tomcat的内存 Webshell 无文件攻击技术
        • Tomcat 内存马检测
      • 代码审计
      • 代码审计指南
      • 浅析Java命令执行
      • 相关框架简介及漏洞
    • PHP
      • 代码审计
      • 破解DVWA-admin密码
      • webshell
        • 常见php一句话webshell解析
        • PHP Webshell Hidden Learning
        • Webshell免杀研究
        • Webshell那些事-攻击篇
        • 过D盾webshell分享
      • 相关框架简介及漏洞
    • python
      • 安全编码规范-代码审计
      • 编码规范
      • fishc
      • 某教程涉及脚本
      • POC编写相关
      • python秘籍
        • 上半部分
        • 下半部分
      • 安全方面的内容
        • Python Opcode逃逸笔记
        • 虚拟机逃逸
      • with-EXCEL
      • 相关框架简介及漏洞
      • 源码剖析
        • 多线程和GIL锁
        • Set容器
        • 统一内存管理
        • 信号处理机制
        • 循环垃圾回收器
        • 字符串对象PyStringObject
        • 整数对象PyIntObject
        • 字节码和虚拟机
    • 汇编
    • Javascript
      • Tampermonkey Script
  • AIGC
    • howtouse
  • 网络
    • CCNA
  • 漏洞类型及讲解
    • 综合
    • 技术分享
      • 暴力破解与信息泄露
      • 信息泄露漏洞_java
      • sqli-with-java
      • python远程命令执行与SSRF
    • SQL-Injectoin
    • Cross-Site Scripting
      • 跨站的艺术-XSS入门与介绍
      • 跨站的艺术-XSS Fuzzing 的技巧
      • 给开发者的终极XSS防护备忘录
      • AngularJS特性的 XSS
    • 文件操作
      • 文件包含
  • how-to-use
    • Acunetix(AWVS)
      • 安装到使用
      • 编写AWVS脚本探测web services
      • 简单分析-web方面
      • 流量分析特征
    • burpsuite
      • 导出报告方式
      • captcha-killer
      • FAKE-IP
      • JSFind
      • 编写插件绕过WAF
    • Cobalt Strike
      • Cobalt Strike Powershell过360+Defender上线
    • FOFA
    • GDB
    • PowerSh
      • 获得Powershell命令的历史记录
      • 深入分析PowerShell的两面性
      • 内网渗透利器之PowerSploit
      • PoC:滥用PowerShell Core
      • 如何绕过PowerShell访问限制并实现PowerShell代码执行
      • 工具包
      • 无powershell运行powershell方法总结
    • sheji
    • sqlmap
      • Atlas修改SQLMap tampers 绕过WAF/IDS/IPS
      • 内核分析
      • 检测剖析
      • tamper
      • UDF
      • --os-shell
      • sqlmapapi
      • with burp
      • 网络特征
    • Matlab
    • Metasploit
      • 与Powershell
    • NESSUS
      • 流量分析特征
      • Untitled
    • Network MapTools
      • 流量特征修改
      • 识别主机指纹
    • waf
      • ngx-lua-waf
      • modsecurity
由 GitBook 提供支持
在本页
  • 1、身份鉴别
  • 1、账户安全
  • 2、功能配置
  • 1、请求主体超时
  • 2、请求头超时
  • 3、会话保持超时
  • 4、DNS解析超时
  • 5、响应客户端超时
  • 3、日志配置
  • 1、错误日志
  • 2、访问日志
  • 4、防攻击管理
  • 1、错误页面处理
  • 2、敏感信息保护
  • 3、目录遍历检查
  • 4、敏感文件访问
  • 5、补丁管理
  • 1、补丁更新

这有帮助吗?

  1. 中间件
  2. nginx

基线检查

1、身份鉴别

1、账户安全

项目

详情

说明

设置客户端请求头读取的超时时间,当客户端在规定时间内没有发送完整的 数据,连接将被退出。

检测步骤

1、参考配置操作 编辑 Nginx.conf 的配置文件,设置客户端请求头超时时间。 client_header_timeout 10; 设置客户端请求主体超时时间为 10,具体数值可根据应用业务场景设置合 适的参数值

符合性依据

检查/nginx.conf 配置文件是否具有相应设置

2、功能配置

1、请求主体超时

项目

详情

说明

设置客户端连接保持会话的超时时间,当双方一定时间内没有数据传输,服 务器会关闭该连接

检测步骤

1、参考配置操作 编辑 Nginx.conf 的配置文件,设置客户端请求主体超时时间。 client_body_timeout 10; 设置客户端请求主体超时时间为 10,具体数值可根据应用业务场景设置合 适的参数值。

符合性依据

检查/nginx.conf 配置文件是否具有相应设置

2、请求头超时

项目

详情

说明

设置客户端请求头读取的超时时间,当客户端在规定时间内没有发送完整的 数据,连接将被退出。

检测步骤

1、参考配置操作 编辑 Nginx.conf 的配置文件,设置客户端请求头超时时间。 client_header_timeout 10; 设置客户端请求主体超时时间为 10,具体数值可根据应用业务场景设置合 适的参数值

符合性依据

检查/nginx.conf 配置文件是否具有相应设置

3、会话保持超时

项目

详情

说明

设置客户端连接保持会话的超时时间,当双方一定时间内没有数据传输,服 务器会关闭该连接

检测步骤

1、参考配置操作 编辑 Nginx.conf 的配置文件,设置客户端连接保持会话超时时间。 keepalive_timeout 60; 设置客户端连接保持会话的超时时间为 10,具体数值可根据应用业务场景设 置合适的参数值

符合性依据

检查/nginx.conf 配置文件是否具有相应设置

4、DNS解析超时

项目

详情

说明

DNS 解析超时时间

检测步骤

1、参考配置操作 编辑 Nginx.conf 的配置文件,设置 DNS 解析超时时间。 resolver_timeout 60 设置 DNS 解析超时时间为 60,具体数值可根据应用业务场景设置合适的参 数值。

符合性依据

检查/nginx.conf 配置文件是否具有相应设置

5、响应客户端超时

项目

详情

说明

设置响应客户端的超时时间。当客户端没有任何活动,Nginx 将会关闭连接

检测步骤

1、参考配置操作 编辑 Nginx.conf 的配置文件,设置响应客户端的超时时间。 send_timeout 600; 设置响应客户端的超时时间为 60,具体数值可根据应用业务场景设置合适 的参数值

符合性依据

检查/nginx.conf 配置文件是否具有相应设置

3、日志配置

1、错误日志

项目

详情

说明

开启错误日志记录功能,对运行错误进行收集。

检测步骤

1、参考配置操作 编辑 Nginx.conf 的配置文件,去掉 error_log 前面的"#"号注释符。 error_log logs/error.log;

符合性依据

1、查看/logs/error.log 文件中相关日志文件内容,记录完整。 2、查看相关日志配置。

2、访问日志

项目

详情

说明

开启访问日志记录功能,对运行错误进行记录。

检测步骤

1、参考配置操作 编辑 Nginx.conf 的配置文件,去掉#access_log 前面的"#"号注释符。 access_log logs/access.log;

符合性依据

1、查看/logs/access.log 文件中相关日志文件内容,记录完整。 2、查看相关日志配置。

4、防攻击管理

1、错误页面处理

项目

详情

说明

Nginx 错误页面重定向

检测步骤

1、参考配置操作 (1) 修改 nginx.conf 配置文件: error_page 400 error/400.html; error_page 403 error/403.html; error_page 404 error/404.html; error_page 500 error/500.html; error_page 501 error/501.html; error_page 502 error/502.html; error_page 503 error/503.html; xxx.html 为要设置的错误页面。 (2)重新启动 Nginx 服务

符合性依据

在 URL 地址栏中输入 http://ip/xxxxxxx~~~(一个不存在的页面) 检测是否指向指定错误页面

2、敏感信息保护

项目

详情

说明

设置服务器的回显内容不含有中间件版本信息。

检测步骤

1、参考配置操作 修改 nginx.conf 配置文件: http { server_tokens off; } 设置 server_tokens 值为 off,即可在所有地方隐藏 nginx 的版本信息。

符合性依据

1、探测的回显内容不包含中间件版本信息。 2、检查/nginx.conf 配置文件是否具有相应设置

3、目录遍历检查

项目

详情

说明

设置服务器目录浏览功能关闭

检测步骤

1、参考配置操作 修改 nginx.conf 配置文件: http { autoindex off; } 设置 autoindex 值为 off,即可关闭目录浏览功能,阻止目录遍历

符合性依据

检查/nginx.conf 配置文件是否具有相应设置

4、敏感文件访问

项目

详情

说明

用户可以通过 location 配置实现对网页下敏感文件的过滤防护。 检

检测步骤

1、参考配置操作 修改 nginx.conf 的配置文件中 location 设置。 Location~.*.(sql|log|txt|rar|zip|sh|py|svn|git){deny all;}

符合性依据

对下列文件类型不少于一项(sql、log、txt、rar、zip、sh、py、svn、git)进行 过滤设置即为符合: 其中正则匹配式涉及到的各文件类型,需要根据实际业务情况进行修改

影响性分析

加固操作对业务的影响需要在测试环境中进行测试。

5、补丁管理

1、补丁更新

项目

详情

说明

定期对 Nginx 进行版本升级

检测步骤

1、参考配置操作 (1)可以用-v 参数查看 nginx 的版本。 (2)假设你的 nginx 安装在/usr/local/nginx 目录 #/usr/local/nginx/sbin/nginx -v 或者通过访问 nginx 的页面,查看响应头中的 server 信息

符合性依据

1、与官网版本对照是否为最新版本 2、可根据实际业务需求更新版本

上一页nginx下一页tomcat

最后更新于4年前

这有帮助吗?