一、常见的中间件有哪些?【服务名称,端口号,配置文件,虚拟主机,虚拟目录,日志文件,默认用户等】
常见的中间件:Apache、Tomcat、Weblogic、Websphere、IIS、Nginx、Jboss。
| 中间件 | 服务名称 | 端口号 | 配置文件 | 虚拟主机 | 虚拟目录 | 日志文件 | 默认用户 |
| Apache | httpd | 80/tcp | /etc/httpd/conf | 有基于域名、IP、端口的虚拟主机 | /var/log/httpd 访问日志文件:access_log 错误日志文件:error_log | Apache | |
| Nginx | nginx | 80tcp | /etc/nginx/nginx.conf | 有基于域名、IP、端口的虚拟主机 | path指定日志的存放位置。 format指定日志的格式。默认使用预定义的combined | nginx | |
- 常见的中间件漏洞原理及利用方法?Apache、Nginx
- Nginx
Nginx PHP CGI 解析漏洞nathinfo)
查看nginx的配置文件
(1)Nginx默认是以CGI的方式支持PHP解析的,普遍的做法是在Nginx配置文件中通过正则匹配设置SCRIPT FILENAME。当访问http://x.x.x.x/phpinfo.jpg/1.php这个URL时$fastcgi_script_name 会被设置为phpinfo.jpg/1.php,然后构造成SCRIPT FILENAME传递给PHP CGI。
(2)但PHP为什么会接受这样的参数,并将phpinfo.jpg作为PHP文件解析呢?
这就涉及到fix_pathinfo选项了。如果PHP中开启了fix_pathinfo 这个选项,PHP会认为SCRIPT FILENAME是phpinfo.jpg,而 1.php 是PATH_INFO,所以就会将 phpinfo.jpg作为PHP文件来解析了.
简单来说,由于Nginx的特性,只要URL中路径名以.php结尾,不管该文件是否存在,直接交给php处理。
漏洞与Nginx、php版本无关,属于用户配置不当造成的解析漏洞
漏洞形式
/1.jpg/1.php/
1.jpg/.php/
1.jpg%00.php/
1.jpg/%20\0.php
3.HTTP header头被覆盖:
Nginx的配置文件分为Server、Location、If等一些配置块,并且存在包含关系,和编程语言比较类似。如果在外层配置的一些选项,是可以被继承到内层的。
但这里的继承也有一些特性,比如add_header,子块中配置后将会覆盖父块中的add_header添加的所有HTTP头,造成一些安全隐患。
如下列代码,Server块添加了CSP头:server {
...
add_header Content-Security-Policy "default-src 'self'";
add_header X-Frame-Options DENY;
location = /test1 {
rewrite ^(.*)$ /xss.html break;
}
location = /test2 {
add_header X-Content-Type-Options nosniff;
rewrite ^(.*)$ /xss.html break;
}
}
但/test2的location中又添加了X-Content-Type-Options头,nginx仅载入模块内部的头部修改信息,则会导致在父块中配置的 add_header Content-Security-Policy “default-src ‘self’”;无法在/test2中生效。从而使/test2这里无法获得防御功能
此处的漏洞环境内部,部署了xss漏洞点,通过 add_header Content-Security-Policy “default-src ‘self’”;头的配置理论上是可以防御XSS攻击的。但是由于此处/test2目录下的配置错误,导致这条配置不在此目录下生效。故依旧可以使用XSS进行攻击。
这个东西会对写入的xss进行转义。
所以可以利用写法可以写为:
http://127.0.0.:8082/test2#
- Apache
1.多后缀解析漏洞
在 Apache 2.0.x <= 2.0.59 , Apache 2.2.x <= 2.2.17 ,中Apache 解析文件的规则是从右到左开始判断解析,如果后缀名为不可识别文件,就再往左判断。因此对于apache而言,一个 test.php.yuip 文件依然会将其解析为 php 。如果所有的后缀apache都不认识,那么就会把该文件当做默认的类型,一般来说默认类型就是 text/plain 。
2.Apache的路径穿越漏洞(CVE-2021-41773)
原理:攻击者利用/xx/.%2e/逃过了ap_normalize_path函数的检测,最终 url_path 传递给了ap_unescape_url进行url解码,解码变成/xx/../导致目录穿越。
3.Apache路径穿越漏洞(CVE -2021-42013)
原理:ap_normalize_path进行了过滤,然后用unescape_url进行url解码。而漏洞点就出现在ap_normalize_path过滤不完全,导致攻击者可以绕过ap_normalize_path对过滤,最终让unescape_url成功解码出../导致路径穿越。说白了就是修补不完全,可以绕过过滤导致了这次漏洞。
payload:GET /icons/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/etc/passwd
4.Apache SSRF漏洞(CVE-2018-40438)
在 httpd 的 mod_proxy 中发现了服务器端请求伪造 (SSRF) 缺陷。此漏洞允许未经身份验证的远程攻击者使 httpd 服务器将请求转发到任意服务器。攻击者可以获取、修改或删除其他服务上的资源。此漏洞的影响因 httpd 网络上可用的服务和资源而异。
三、常见的中间件安全加固的思路及配置方法是什么?
(1)Nginx加固思路
1、禁止目录浏览/隐藏版本信息
编辑nginx.conf配置文件,HTTP模块添加如下一行内容,并重启:
autoindex off; #禁止目录浏览
server_tokens off; #隐藏版本信息
2、限制http请求方法
if ($request_method !~ ^(GET|HEAD|POST)$ ) {
return444;
}
3、限制IP访问
location / {
deny 192.168.1.1; #拒绝IP
allow 192.168.1.0/24; #允许IP
allow 10.1.1.0/16; #允许IP
deny all; #拒绝其他所有IP
}
4、限制并发和速度
limit_zone one $binary_remote_addr 10m;
server {
listen 80;
server_name www.test.com;
index index.html index.htm index.php;
root /usr/local/www; #Zone limit;
location / {
limit_conn one 1;
limit_rate 20k;
}
………
}
5、控制超时时间
client_body_timeout 10; #设置客户端请求主体读取超时时间
client_header_timeout 10; #设置客户端请求头读取超时时间
keepalive_timeout 55; #第一个参数指定客户端连接保持活动的超时时间,第二个参数是可选的,它指定了消息头保持活动的有效时间
send_timeout10; #指定响应客户端的超时时间
6、nginx降权
user nobody;
7、配置防盗链
location ~* ^.+\.(gif|jpg|png|swf|flv|rar|zip)$ {
valid_referers none blocked server_names *.test.com http://localhost baidu.com;
if ($invalid_referer) {
rewrite ^/ [img]http://www.XXX.com/images/default/logo.gif[/img];
# return403;
}
}
8、针对SSL 策略进行加固(需ngnix版本支持)
server {
ssl_protocols TLSv1.2,TLSv1.3;
}
9、确保NGINX配置文件权限为644
修改Nginx配置文件权限:
执行chmod 644 <conf_path>来限制Nginx配置文件的权限;(<conf_path>为配置文件的路径,
如默认/安装目录/conf/nginx.conf或者/etc/nginx/nginx.conf,或用户自定义,请 自行查找)
10、更改源码隐藏软件名称及版本号
在nginx编译安装之前,先更改,之后再编译安装
更改版本号
修改nginx-1.6.4/src/core/nginx.h
nginx-1.6.2/src/core#
sed -n '13,17p' nginx.h
#修改为需要的版本号
#将nginx修改为其他名称
11、Nginx后端服务指定的Header隐藏状态
当nginx作为反向代理时,会配置很多站点,为了不想泄露后端webserver主机信息,可以在http全局下配置隐藏Nginx后端服务X-Powered-By头。
隐藏Nginx后端服务X-Powered-By头
1、打开conf/nginx.conf配置文件;
2、在http下配置proxy_hide_header项;
增加或修改为 proxy_hide_header X-Powered-By; proxy_hide_header Server;
http {
.....
proxy_hide_header X-Powered-By;
proxy_hide_header Server;
....
}
12、Nginx解决跨域问题
复杂跨域的条件是:
①、非GET、HEAD、POST请求。
②、POST请求的Content-Type不是application/x-www-form-urlencoded, multipart/form-data, 或text/plain。
③、添加了自定义header,例如Token。
(2)Apache加固思路
1.账号设置 Ø
以专门的用户帐号和组运行Apache。
2.授权设置 Ø
严格控制Apache主目录的访问权限,非超级用户不能修改该目录中的内容
3.日志设置 Ø
设备应配置日志功能,对运行错误、用户访问等进行记录,记录内容包括时间,用户使用的IP 地址等内容。
4.禁止访问外部文件 Ø
禁止Apache 访问Web 目录之外的任何文件。
5.禁止目录列出
目录列出会导致明显信息泄露或下载,禁止Apache 列表显示文件,编辑httpd.conf配置文件
6.错误页面重定向
Apache 错误页面重定向功能防止敏感信息泄露
7.拒绝服务防范 Ø
根据业务需要,合理设置session 时间,防止拒绝服务攻击
8.隐藏Apache 的版本号 Ø
隐藏Apache 的版本号及其它敏感信息