Nginx常见的安全漏洞及其修复方法

Nginx作为广泛使用的Web服务器和反向代理，虽然本身安全性较高，但若配置不当仍可能引发安全风险。以下是常见漏洞及修复方案：

1. 信息泄露漏洞

• 风险：默认Server头暴露Nginx版本号
• 修复： nginx server_tokens off; # 隐藏版本号 more_set_headers "Server: Custom"; # 自定义Server头（需ngx_headers_more模块）

2. 目录遍历漏洞

• 风险：错误配置autoindex或未禁用目录列表
• 修复： nginx location / { autoindex off; # 禁用目录列表 }

3. HTTP方法滥用

• 风险：允许危险方法（如PUT/DELETE）
• 修复： nginx location / { limit_except GET POST HEAD { deny all; } # 仅允许安全方法 }

4. CRLF注入漏洞

• 风险：通过换行符注入恶意头或重定向
• 修复： nginx # 检查URL中的非法字符 if ($request_uri ~* "\r|\n") { return 403; }

5. SSL/TLS配置缺陷

• 风险：弱加密套件或低版本协议
• 修复： nginx ssl_protocols TLSv1.2 TLSv1.3; ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384'; ssl_prefer_server_ciphers on;

6. 路径穿越攻击（Path Traversal）

• 风险：通过../访问系统文件
• 修复： nginx location ~* \.(php|conf|env|sh)$ { deny all; } # 禁止敏感文件访问

7. 请求头溢出攻击

• 风险：利用大请求头耗尽内存
• 修复： nginx client_header_buffer_size 1k; large_client_header_buffers 4 8k;

8. 缺少XSS/Clickjacking防护

• 修复： nginx add_header X-Frame-Options "SAMEORIGIN"; add_header X-XSS-Protection "1; mode=block"; add_header Content-Security-Policy "default-src 'self'";

9. 未限制文件上传

• 风险：上传恶意文件
• 修复： nginx location ^~ /uploads/ { client_max_body_size 10M; deny all; # 默认禁止，按需开放 }

10. 日志敏感信息泄露

• 修复： nginx log_format sanitized '$remote_addr - $remote_user [$time_local] ' '"$request" $status $body_bytes_sent ' '"$http_referer" -'; # 移除敏感头

加固建议

1. 最小化模块：仅加载必要模块（如禁用ngx_http_autoindex_module）
2. 权限隔离：以非root用户运行Nginx bash user nginx;
3. 定期更新：保持Nginx版本为最新稳定版
4. WAF集成：使用ModSecurity等Web应用防火墙
5. 访问控制：限制IP访问敏感路径 nginx location /admin { allow 192.168.1.0/24; deny all; }

通过以上措施可显著提升Nginx安全性。建议配合漏洞扫描工具（如Nessus、OpenVAS）定期检测，并参考Nginx官方安全指南。