Nginx URL セキュリティ ポリシー作成ガイド

Nginx は、高性能 Web サーバーおよびリバース プロキシ サーバーとして、Web サイト設計者に広く支持されています。ただし、Nginx を使用する場合、特に URL を処理する場合には、セキュリティの問題にも注意する必要があります。

Nginx の柔軟性により、URL セキュリティ戦略を採用しないと、次の攻撃を受ける可能性があります:

1. SQL インジェクション
2. XSS攻撃
3. 不正なファイルダウンロード
##CSRF攻撃
4. ##不正なアクセス要求など
5. #この記事ではNginx URLの書き方ガイドを紹介します。セキュリティポリシー。

1. 前提条件

Nginx URL セキュリティ ポリシーを作成する前に、次の知識ポイントを習得する必要があります:

正規表現

Nginx の設定ファイル構文
1. HTTP プロトコルの基本知識
3. 2. 入力フィルタリング

Nginx は、http リクエスト ヘッダー検出を使用して、悪意のある HTTP リクエストを防止できます。具体的な実装方法は、次のような構成を Nginx 構成ファイルに追加することです:

if ($http_user_agent ~* "some evil expression") {
    return 403;
}

または、次のように、入力フィルタリングに Nginx の組み込みファイアウォール モジュールを使用します:

# block ip sends more than 100 requests per 5 seconds
limit_conn_zone $binary_remote_addr zone=one:10m;
limit_req_zone $binary_remote_addr zone=two:10m rate=1r/s;
server {
    location / {
        limit_conn one 10;
        limit_req zone=two burst=5 nodelay;
    }
}

この例

まず、ステータス情報を保存できるメモリ領域である 2 つのゾーンを定義します。 (これは、アクセスが多い場合、この保護のコストが比較的高くなる可能性があることも意味します)

同じ IP アドレスが 5 秒以内に 100 を超える HTTP リクエストを送信した場合は、ブロックします。
1. 同じ IP アドレスが 1 秒以内に 5 件を超える HTTP リクエストを送信すると、ブロックされます。
3. 3. SQL インジェクションを回避する

実際の開発では SQL インジェクションを回避する必要があります。 SQL インジェクション攻撃を防ぐために、次のように設定できます:

location ~* (.php|.asp|.ashx)/?$ {
    if ($args ~* "select.*from") {
        return 403;
    }
}

この例では、Nginx の組み込み if モジュールを使用して、攻撃者が select ステートメントを使用してデータベースからデータを取得するのを防ぎます。 403 アクセスが禁止されています。

4. XSS 攻撃の防止

XSS 攻撃に対しては、入力検出を強化できます。 XSS 攻撃の可能性が検出された場合、接続は安全な URL にリダイレクトされるか、エラー メッセージが返されます。

if ($args ~* "<script.*>") {
    return 403;
}

この例では、Nginx の組み込み if モジュールを使用して、URL にネストされたスクリプト タグを持つコンテンツがあるかどうかを検出します。

5. CSRF 攻撃を防ぐ

Nginx を使用する場合、CSRF 攻撃を防ぐために、外部サイトからのリクエストを禁止する必要があります。たとえば、次の構成を追加できます:

location / {
    if ($http_referer !~ "^https?://$host/") {
        return 403;
    }
}

この例では、Nginx の組み込み if モジュールを使用して、$host サイトからのリクエストのみを受信するように制限します。他のサイトからのリクエストがある場合、Nginx は403.

6. ファイル ダウンロードの脆弱性を防ぐ

プライベート ドキュメント、スクリプト、設定ファイルなどの不適切なファイルへのアクセスを防ぐために、次の戦略を使用してください:

location ~* .(xls|doc|pdf)$ {
    valid_referers none blocked server_names;
    if ($invalid_referer) {
        return 401;
    }
}

この例 Nginx の組み込み valid_referers モジュールを使用すると、リクエストが無許可のサイトからのものであることが判明すると、401 が返されます。

7. 一部の URL へのアクセスを禁止する

実際のプロジェクトでは、admin.php、login.php などの一部の URL が攻撃者に使用される可能性があります。彼らのアクセスを禁止するだけで済みます。

location ~ /(admin|login).php {
    deny all;
}

この例の設定では、admin.php および login.php で終わる URL へのアクセスが禁止されています。

8. 完全な例

最後に、上記の構成に基づいて、次の完全な例を取得できます:

server {
    listen 80;
    server_name yourdomain.com;

    # 设置过滤规则
    location / {
        # 禁止非法请求
        limit_conn_zone $binary_remote_addr zone=one:10m;
        limit_req_zone $binary_remote_addr zone=two:10m rate=1r/s;
        limit_conn one 10;
        limit_req zone=two burst=5 nodelay;

        # 防止XSS攻击
        if ($args ~* "<script.*>") {
            return 403;
        }

        # 防止SQL注入
        if ($args ~* "select.*from") {
            return 403;
        }

        # 禁止admin和login的访问
        location ~ /(admin|login).php {
            deny all;
        }
    }

    # 防止文件下载漏洞
    location ~* .(xls|doc|pdf)$ {
        valid_referers none blocked server_names;
        if ($invalid_referer) {
            return 401;
        }
    }
}

上記は、Nginx URL セキュリティ ポリシーを作成するためのガイドです。 。これが Nginx 構成に何らかの助けとなり、システムのセキュリティを向上させることができれば幸いです。

以上がNginx URL セキュリティ ポリシー作成ガイドの詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。