漏洞nginx

背景 之前的文章介绍了，如何使用docker部署jumpserver 当需要配置成https的时候，会发现很不好调整 那么就出现了一种新的场景，那就是，后端服务不能动，如何在原来的基础上实现https的方式访问 思路 通过nginx反向代理给后端 实现 jumpserver的web服务地址是 10. ......

一、注入漏洞是什么？ 注入漏洞，即将不受信任的数据作为命令或查询的一部分发送到解析器时，会产生诸如SQL注入NoSQL注入、OS 注入和LDAP注入的注入缺陷。攻击者的恶意数据可以诱使解析器在没有适当授权的情况下执行非预期命今或访问数据。 几乎任何数据源都能成为注入载体，包括环境变量、所有类型的用户 ......

过去爆出的历史漏洞可以使用一些集成工具才探测，这里复现一些工具未集成的漏洞 struts2 代码执行 （CVE-2020-17530）（S2-061） 启动环境 使用另一个exp来执行 https://github.com/YanMu2020/s2-062 E:\python s2-062.py - ......

Thinkphp版本主要有3、5、6，相关漏洞比较多，可以使用两款工具来探测。 工具未集成的漏洞存在thinkphp lang 命令执行 thinkphp lang 命令执行 环境启动 PAYLOAD GET /public/index.php?+config-create+/&lang=../.. ......

首先到安装目录下 cd /usr/local/nginx 1、首先下载需要的版本 cd /usr/local wget -c http://nginx.org/download/nginx-1.22.1.tar.gz 2、解压 tar zxvf nginx-1.22.1.tar.gz 3、备用一下旧 ......

符号执行之manticore工具演练 参考资料：SANS SEC 554 https://docs.soliditylang.org/en/v0.8.0/ ziion虚拟机：区块链智能合约中的kali(ziion涵盖演练中所以提及到的工具) 动静态之分 IDA是静态分析工具，常用于检测脆弱性；man ......

前言 目前生产环境的配置越来越多的使用云服务了，同时负载均衡也基本转向了云厂商提供的服务，但对于绝大多数应用来说，自建集群可能在费用上要更便宜一些，这篇文章也是之前整理的，再次新瓶装旧酒分享给各位。此示例演示在不使用docker的情况下配置负载均衡，内容keepalived+nginx+tomcat ......

参考：https://mp.weixin.qq.com/s/2QVkA0ViNkO_i7fiZtIknQ 反向代理是 Nginx 作为 Web 服务器最常用的功能之一。什么是反向代理呢？很多初学者在第一次遇到这个名词的时候总免不了出现很多问号。 举个例子，小二的浏览器是无法直接访问谷哥的，但香港的代 ......

一、centos7以上环境 推荐centos环境，比较简单 安装nginx yum install nginx 允许nginx开机自启动 systemctl enable nginx 二、windows环境 下载nginx https://nginx.org/en/download.html 准备工 ......

1. 敏感信息泄露 1.1. 6443/10251/10252敏感信息泄露 上图中提示6443、10251、10252三个端口分别对应了K8S的kubelet API、kube-scheduler、kube-controller三个服务的通讯端口。访问URL显示这三个端口的指标、版本页面会显示敏感信 ......

#!/bin/bash # utf-8 # description: nginx滚动切割脚本,按照500M进行滚动切割 # log_directory="/export/servers/nginx/logs" # 日志文件目录 max_size=500 # 日志文件的最大大小，单位为MB log_a ......

Apache ActiveMQ Jolokia 后台远程代码执行漏洞（CVE-2022-41678） Apache ActiveMQ是美国阿帕奇（Apache）软件基金会所研发的一套开源的消息中间件，它支持java消息服务、集群、Spring Framework等。 Apache ActiveMQ在 ......

Nginx的负载均衡模块目前支持4种调度算法，下面分别进行介绍 其中后两项属于第三方的调度方法。 轮询（默认），每个请求按时间顺序逐一分配到不同的后端服务器，如果后端某台服务器死机，故障系统被自动剔除，使用户访问不受影响。 Weight，指定轮询权值，Weight值越大，分配到的访问机率越高，主要用 ......

虚拟主机功能是Nginx经常用到的一个特性，每个虚拟主机就是一个独立的站点，对应一个域名，如果需要多个域名指向到一个IP上时，通过虚拟主机功能可以轻松实现。 下面在Nginx中创建三个虚拟主机，需要说明的是，这里仅仅列出了虚拟主机配置部分。 http{ server { listen 80; ser ......

1、Nginx内置变量 常见的内置变量有如下几种： $args，此变量与请求行中的参数相等 $query_string，此变量与$args含义一致。 $document_root，此变量等同于当前请求的root指令指定的值 $uri，表示不带请求参数的当前URL，$uri不包含主机名。如http:/ ......

1、Nginx中location应用实例 location主要用于对URL进行匹配。 location支持正则表达式匹配，也支持条件判断匹配。 以下这段设置是通过location指令来对网页URL进行分析处理，所有扩展名以.gif、.jpg、.jpeg、.png、.bmp、.swf结尾的静态文件都在 ......

1.监控nginx链接数状态status # 1.开启status页面功能 cat > /etc/nginx/conf.d/status.conf <<'EOF' server{ listen 80; server_name localhost; location /nginx_status { s ......

1、检查Nginx配置文件的正确性 Nginx提供的配置文件调试功能非常有用，可以快速定位配置文件存在的问题。执行如下命令检测配置文件的正确性： /usr/local/nginx/sbin/nginx -t 或者 /usr/local/nginx/sbin/nginx -t -c /usr/loca ......

以添加echo-nginx-module模块为例 查看现有nginx的编译参数 $ nginx -V nginx version: nginx/1.20.2 built by gcc 4.8.5 20150623 (Red Hat 4.8.5-44) (GCC) built with OpenSSL ......

nginx 配置mp4文件播放 ​ 由于工作需要一个离线的视频播放地址，就想简单一点直接把视频文件放到nginx里面实现视频播放，但是把mp4文件放上去之后地址栏输入地址直接就是下载文件，这跟我想象的可不一样，遂查了一下原来是需要安装mp4模块支持，因为我之前编译之后把文件删掉了，我就重新下载了ng ......

配置文件 $ cat conf/nginx.conf #设置用户 user nginx; #工作线程 worker_processes auto; #error_log logs/error.log; #设置日志级别 error_log logs/error.log notice; #error_l ......

location /i { #www.a.com/i/123.gif alias /var/www/html/images/; #/var/www/html/images/123.gif } 在这个location段配置中，如果url请求 /i/logo.gif，那么Nginx将会在服务器上查找 / ......

thinkphp5的 nginx 配置，官方文档参考： http://static.kancloud.cn/manual/thinkphp5/177576 fastadmin的 nginx 配置，官方文档参考：https://doc.fastadmin.net/doc/faq.html server ......

Nginx安装完毕后，会产生相应的安装目录，根据前面的安装路径，Nginx的配置文件路径为 /usr/local/nginx/conf 其中 nginx.conf 为Nginx的主配置文件 这里重点介绍下 nginx.conf 这个配置文件。 Nginx配置文件默认有五个部分组成：分别是main、e ......

Nginx版本分为主线版、稳定版和历史版本 在官方网站中 Mainline version表示目前主力在做的版本，可以说是开发版，开发版更新速度较快，从官网上看大约一个月更新1-2次 Stable version表示最新稳定版，也就是生产环境上建议使用的版本 Legacy versions表示遗留的 ......

OSI（开放系统互联） 是最常被网络相关讨论引用的网络流量框架之一。当数据包通过第 6 层（表示层）移动到第 7 层（应用层）时，它会进行解密或解码操作。这些操作可能会因异常解码和解释而产生漏洞，而这些漏洞可能被利用来打破标准应用上下文。注入就是这种漏洞的一种类型，而且因为传统的 IDS/IPS 设 ......

下载nginx镜像 docker pull nginx:1.24.0 简易启动nginx docker run -p 81:80 -d --name simple-nginx nginx:1.24.0 创建本地挂载文件夹 #创建四个文件夹conf,log,html,conf.d mkdir -p / ......

安装依赖 //一键安装四个依赖环境 yum -y install gcc zlib zlib-devel pcre-devel openssl openssl-devel 上传压缩包并解压 上传nginx压缩包到/usr/local/nginx目录下 tar xvf nginx-1.24.0.tar ......

CVE-2021-41773 目录穿越 Apache HTTP Server 2.4.49、2.4.50版本对路径规范化所做的更改中存在一个路径穿越漏洞，攻击者可利用该漏洞读取到Web目录外的其他文件，如系统配置文件、网站源码等，甚至在特定情况下，攻击者可构造恶意请求执行命令，控制服务器。 启动环境 ......

授人以鱼不如授人以渔.先学会用，在学原理，在学创造，可能一辈子用不到这种能力，但是不能不具备这种能力。这篇文章主要是沉淀使用nginx+lua+redis实现灰度，当我们具备了这种能力，随时可以基于这种能力和思想调整实现方案：比如nginx+lua+(其他数据源)、nginx+(其他脚本语言) ......