nginx漏洞相关修复

作者: 李哈哈_2c85 | 来源:发表于2024-01-04 09:40 被阅读0次

Nginx相关漏洞
针对最近的ImageMagick Elie提出的学习一个漏洞
第13章、加强网络操作系统安全
后端技术栈
漏洞修复
漏洞修复
修复漏洞
Nginx平滑升级
[转载复现]phpcms9.6.1任意文件下载漏洞
CVE-2018-14634(Mutagen Astronomy

server {

        listen       9092;
        server_name  127.0.0.1 222.221.246.3 192.168.200.25 192.168.200.1;
        #Host头攻击--只有请求中的Host头与这些地址匹配时才会继续处理请求
        if ( $host !~* '127.0.0.1|222.221.246.3|192.168.200.25|192.168.200.1' ) {
        return 400;
        }
        
        #未设置X-Content-Type-Options响应头--用于指示浏览器是否允许自动嗅探响应内容的 MIME 类型
        add_header X-Content-Type-Options "nosniff";
        #未设置X-XSS-Protection响应头--用于启用浏览器的内置跨站脚本攻击 (XSS) 过滤器
        add_header X-XSS-Protection "1; mode=block";
        #未设置Strict-Transport-Security响应头--用于强制客户端（浏览器）通过 HTTPS 连接访问您的网站，以增加连接安全性
        add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload";
        #点击劫持:无X-Frame-Options头信息--用于控制网页是否可以在 <frame>, <iframe>, <embed>, <object> 等标签中显示
        add_header X-Frame-Options "SAMEORIGIN";
        #未设置Referrer-Policy响应头--用于控制浏览器在发送引荐（referrer）信息时如何处理
        add_header Referrer-Policy "no-referrer";
        #未设置X-Download-Options响应头--用于控制浏览器是否允许文件下载
        add_header X-Download-Options "noopen";
        #未设置X-Permitted-Cross-Domain-Policies响应头--用于指定是否允许跨域策略文件（crossdomain.xml）加载-默认不允许none和all
        add_header X-Permitted-Cross-Domain-Policies "all";

        location / {
                try_files $uri $uri/ /index.html;
                error_page  502 503 504 404 403  http://html.dev.goago.cn/error.html;
                root /mnt/mfs/static/fe/fedrugadmin/;
                access_log /data/log/nginx/fedrugadminweb_log main;
             }
        }

server {
        listen 8081 ssl;
        ssl_certificate      /usr/local/nginx/conf/conf.d/ssl/xjyjj.cn.crt;
        ssl_certificate_key  /usr/local/nginx/conf/conf.d/ssl/xjyjj.cn.key;
        #禁用TLSv1
        ssl_protocols TLSv1.2 TLSv1.3;
        server_name 172.24.47.81 dzzz.xjyjj.cn;
        if ( $host !~* '127.0.0.1|172.24.47.81|dzzz.xjyjj.cn' ) {
        return 400;
        }
        gzip  on;
        gzip_min_length 256;
        gzip_comp_level 6;
        gzip_types text/plain  text/css text/javascript image/png image/jpg image/jpeg   application/xml application/x-javascript application/javascript ;
        gzip_vary on;
        gzip_proxied any;
        location / {
            try_files $uri $uri/ /index.html;

            root /data/web/fexjec/;
            access_log /data/log/nginx/web_access.log main;
            #用于控制浏览器在发送引荐（referrer）信息时如何处理
            add_header Referrer-Policy "no-referrer";
            #用于启用浏览器的内置跨站脚本攻击 (XSS) 过滤器
            add_header X-XSS-Protection "1; mode=block";
            #用于强制客户端（浏览器）通过 HTTPS 连接访问您的网站，以增加连接安全性，-HSTS Missing From HTTPS Server
            #add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload";
            add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;
            #用于指示浏览器是否允许自动嗅探响应内容的 MIME 类型
            add_header X-Content-Type-Options "nosniff";
            #用于指定是否允许跨域策略文件（crossdomain.xml）加载-默认不允许
            add_header X-Permitted-Cross-Domain-Policies "none";
            #Content-Security-Policy 是一个用于定义网页内容安全策略的 HTTP 头部，可以帮助保护网站免受跨站脚本攻击(XSS)、点击劫持等安全威胁
            #add_header Content-Security-Policy "default-src 'self'; script-src 'self' 'unsafe-inline'; style-src 'self' 'unsafe-inline'";
            add_header Content-Security-Policy "default-src * data: 'unsafe-inline' 'unsafe-eval' blob:; frame-ancestors 'self';";
            #用于控制浏览器是否允许文件下载
            add_header X-Download-Options "noopen";
            #用于控制网页是否可以在 <frame>, <iframe>, <embed>, <object> 等标签中显示
            add_header X-Frame-Options "SAMEORIGIN";
                }