1、常见的恶意行为:爬虫行为和恶意抓取、资源盗用
解决方案:
  基础防盗链功能:不让恶意用户能轻易爬去网站对外数据
  secure_link_module模块:对数据安全性提高,加密验证和失效性,适合核心重要数据
  access_module模块:对后台、部分用户服务的数据提供IP防控

2、常见的应用层攻击手段

  1.后台密码撞库:通过猜测密码字典不断对后台系统登录性尝试,获取后台登录密码
    解决方案:
    1、加强后台登录密码的复杂度
    2、access_module模块:对后台提供IP防控
    3、预警机制,如检测到一个账号频繁做登录操作,且多数失败的情况,及时给管理人员报警

  2.文件上传漏洞:利用这些可以上传的接口将恶意代码移植到服务器中,再通过url去访问以执行代码
  在Nginx早期的版本里面就存在这样的漏洞
  黑客伪造一张图片1.jpg,里面包含一些php的恶意的执行代码,把图片1.jpg上传到upload下,如果请求的是http://www.xxx.com/upload/1.jpg,则为请求图片,当请求为http://www.xxx.com/upload/1.jpg/1.php的时候,Nginx会将1.jpg作为php代码来执行,黑客就可以做很多事情了

  解决方案:加判断

  3.SQL注入:利用未过滤/未审核用户输入的攻击方法,让应用运行本不应该运行的SQL代码

接下来实现以下SQL注入的场景

环境准备:

#1、安装环境centos7 默认可以使用yum安装
yum install mariadb-server mariadb

centos6.5安装参照:https://www.linuxidc.com/Linux/2015-03/114287.htm

yum install php php-fpm php-mysql

启动和查看状态

进入数据库

#2、建立表格、插入测试数据

create table users(id int(11),username varchar(64), password varchar(64), email varchar(64));
insert into users (id,username,password,email) values(1,'jeson',md5('123'),'jeson@imoocc.com');

修改nginx配置文件

location / {
  index index.php index.htm;
}
location = /50x.html {
  root /usr/share/nginx/html;
}
location ~ \.php$ {
  fastcgi_pass 127.0.0.1:9000;
  fastcgi_index index.php;
  #fastcgi_param SCRIPT_FILENAME /scripts$fastcgi_script_name;
  fastcgi_param SCRIPT_FILENAME /opt/app/code/$fastcgi_script_name;
  include fastcgi_params;
}

启动php-fpm:php-fpm -D

去/opt/app/code/下写一个测试页面phpinfo,php

检查语法,并重载
nginx -tc /etc/nginx/nginx.conf
nginx -s reload -c /etc/nginx/nginx.conf

访问phpinfo

接下来就准备一个html代码:login.html

<html>
<head>
<title>Jeson Sql注入演示</title>
<meta http-equiv="content-type"content="text/html;charset=utf-8">
</head>
<body>
<form action="validate.php" method="post">
  <table>
    <tr>
      <td>用户名:</td>
      <td><input type="text" name="username"></td>
    </tr>
    <td>密 码:</td>
      <td><input type="text" name="password"></td>
    </tr>
    <tr>
      <td><input type="submit" value="提交"></td>
      <td><input type="reset" value="重置"></td>
    </tr>
  </table>
</form>
</body>
</html>

准备一个php文件validate.php

<?php
  $conn = mysql_connect("localhost",'root','') or die("数据库连接失败!");
  mysql_select_db("info",$conn) or die("您要选择的数据库不存在");
  $name=$_POST['username'];
  $pwd=$_POST['password'];
  $sql="select * from users where username='$name' and password='$pwd'";
  echo $sql."<br /><br />";
  $query=mysql_query($sql);
  $arr=mysql_fetch_array($query);
  if($arr){
    echo "login success!\n";
    echo $arr[1];
    echo $arr[3]."<br /><br />";
  }else{
    echo "login failed!";
  }

#if(is_array($arr)){
# header("Location:manager.php");
#}else{
# echo "您的用户名或密码输入有误,<a href="Login.php">请重新登录!</a>";
#}
?>

检查配置语法并重载

访问login,随便输入一组错误的用户名密码,登录失败

输入正确的用户名密码,登录成功

接下来进行SQL注入

用户名输入:' or 1=1#  密码随便填,提交

登录成功

防SQL注入,后端代码可以做,nginx+Lua也可以做

Nginx详解二十七:Nginx架构篇之安全篇的更多相关文章

  1. Nginx详解二:Nginx基础篇之Nginx的优点

    Nginx是一个开源且高性能.可靠的HTTP中间件.代理服务 常见的HTTP服务: HTTPD--Apache基金会 IIIS--微软 GWS--Google(不对外开放) Nginx优势: 一.IO ...

  2. Nginx详解二十六:Nginx架构篇之性能优化

    一.性能优化考虑点 1.当前系统结构瓶颈 通过压力测试观察指标.日志检测.性能分析 2.了解业务模式 接口业务类型.系统层次化结构 3.性能与安全 二.ab接口压力测试工具 1.安装:yum -y i ...

  3. Nginx详解二十八:Nginx架构篇Nginx+Lua的安全waf防火墙

    Nginx+Lua的安全waf防火墙 看一下别人写好的:https://github.com/loveshell/ngx_lua_waf 先安装git:yum -y install git 在/opt ...

  4. Nginx详解二十五:Nginx架构篇之Nginx常见的问题

    Nginx常见的问题 1.相同server_name多个虚拟主机优先级访问,是按读取文件的优先级来排序 在/opt/app/下准备3个code文件夹,下面放入3个html文件,里面的内容分别是code ...

  5. Nginx详解二十三:Nginx深度学习篇之Nginx+Lua开发环境搭建

    Nginx+Lua开发环境 1.下载LuaJIT解释器wget http://luajit.org/download/LuaJIT-2.0.2.tar.gztar -zxvf LuaJIT-2.0.2 ...

  6. Nginx详解二十:Nginx深度学习篇之HTTPS的原理和作用、配置及优化

    一.HTTPS原理和作用: 1.为什么需要HTTPS?原因:HTTP不安全1.传输数据被中间人盗用.信息泄露2.数据内容劫持.篡改 2.HTTPS协议的实现对传输内容进行加密以及身份验证 对称加密:加 ...

  7. Nginx详解二十四:Nginx深度学习篇之灰度发布

    实战场景 - 灰度发布 灰度发布的作用:按照一定的关系区别,分部分的代码进行上线,使代码的发布能平滑过渡上线实现方式: 1.用户的信息cookie等信息区别 2.根据用户的IP地址 安装memcach ...

  8. Nginx详解二十一:Nginx深度学习篇之配置苹果要求的openssl后台HTTPS服务

    配置苹果要求的证书: 1.服务器所有的连接使用TLS1.2以上的版本(openssl 1.0.2) 2.HTTPS证书必须使用SHA256以上哈希算法签名 3.HTTPS证书必须使用RSA2048位或 ...

  9. Nginx详解九:Nginx基础篇之Nginx的访问控制

    基于IP的访问控制:http_access_module 不允许指定网段的用户访问:配置语法:deny address | CIDR | unix: | all;默认状态:-配置方法:http.ser ...

随机推荐

  1. 爬虫BS4—淘女郎

    1.修改网页头 用独自的py文件getheaders,随机返回header getheaders文件 import random headerstr = """Mozil ...

  2. MyBatis中---数据库配置的属性名冲突问题

    一.db.properties 属性文件中 最好加特殊的标志前缀  jdbc.username ,如果单纯的username有可能影响到 mapper.xml中的 ${username}; 举例   ...

  3. Java类加载双亲委托模式优点

    启动类加载器可以抢在标准扩展类加载器之前去装载类,而标准扩展类装载器可以抢在类路径加载器之前去加载那个类,类路径装载器又可以抢在自定义类装载器之前去加载类.所以Java虚拟机先从最可信的Java核心A ...

  4. android xml组建圆角背景设置

    1.实现左边圆角,右边直行的方法: <?xml version="1.0" encoding="utf-8"?> <shape xmlns:a ...

  5. PL/SQL 加字段 修改数据库之后 之后记得保存脚本

  6. Python3-进程池与线程池

    进程池与线程池 在刚开始学多进程或多线程时,我们迫不及待地基于多进程或多线程实现并发的套接字通信,然而这种实现方式的致命缺陷是:服务的开启的进程数或线程数都会随着并发的客户端数目地增多而增多,这会对服 ...

  7. ibevent 和 libev 提高网络应用性能【转】

    转自:https://www.cnblogs.com/kunhu/p/3632285.html 构建现代的服务器应用程序需要以某种方法同时接收数百.数千甚至数万个事件,无论它们是内部请求还是网络连接, ...

  8. MySQL5.7 锁定用户【转】

    使用ALTER USER 语句锁定 mysql>ALTER USER 'demo'@'localhost' ACCOUNT LOCK; Query OK, rows affected (0.00 ...

  9. systemd实践: 依据情况自动重启服务【转】

    1.最简单的自动重启范例 [Unit] Description=mytest [Service] Type=simple ExecStart=/root/mytest.sh Restart=alway ...

  10. mongodb管理与安全认证

    mongodb数据管理 数据的导出.数据导入数据导出 mongoexport [使用mongoexport -h查看参数] 数据导入 mongoimport [使用mongoimport -h查看参数 ...