文章
  • JS插件
  • 整站源码
  • html模板
  • 共享资源
  • 文章
热门搜索: 微信小程序 qq登陆 thinkphp 微信登陆
窝币充值 开通VIP
插件窝 干货文章 Nginx安全实战:防范SQL注入与漏洞攻击

Nginx安全实战:防范SQL注入与漏洞攻击

Nginx 配置 HTTP request 921    来源:    2025-04-20

Nginx安全实战:防范SQL注入与漏洞攻击

一、Nginx基础安全加固

1. 隐藏Nginx版本信息

server_tokens off;

2. 禁用不必要的HTTP方法

if ($request_method !~ ^(GET|HEAD|POST)$ ) {
    return 405;
}

3. 限制HTTP协议版本

if ($server_protocol !~* "HTTP/1.1|HTTP/2.0") {
    return 444;
}

二、SQL注入防护策略

1. 过滤特殊字符

set $block_sql_injections 0;
if ($query_string ~ "union.*select.*\(") {
    set $block_sql_injections 1;
}
if ($query_string ~ "concat.*\(") {
    set $block_sql_injections 1;
}
if ($block_sql_injections = 1) {
    return 403;
}

2. 阻止常见SQL注入模式

location ~* "(\'|\")(.*)(drop|insert|md5|benchmark|or|and)(.*)(\'|\")" {
    deny all;
}

3. 参数值过滤

location ~* "^.*(\<|\>|'|%27|%22|%3E|%3C).*" {
    return 403;
}

三、Web应用防火墙(WAF)配置

1. 使用ModSecurity

load_module modules/ngx_http_modsecurity_module.so;

http {
    modsecurity on;
    modsecurity_rules_file /etc/nginx/modsec/main.conf;
}

2. 基础防护规则示例

SecRuleEngine On
SecRequestBodyAccess On
SecRule REQUEST_HEADERS:Content-Type "text/xml" "id:'200000',phase:1,t:none,t:lowercase,pass,nolog,ctl:requestBodyProcessor=XML"
SecRule REQUEST_URI|REQUEST_BODY "\![\@\%\^\*\(\)\+\=\{\}\[\]\|\'\"\;\:\?\,\/\~\`]" "id:'210000',phase:2,deny,status:403,msg:'SQL Injection Attack'"

四、防暴力破解配置

1. 限制登录尝试频率

limit_req_zone $binary_remote_addr zone=login:10m rate=5r/m;

location /login {
    limit_req zone=login burst=3 nodelay;
    proxy_pass http://backend;
}

2. 封禁恶意IP

geo $bad_ips {
    default 0;
    include /etc/nginx/conf.d/blocked_ips.conf;
}

server {
    if ($bad_ips) {
        return 403;
    }
}

五、HTTPS安全配置

1. 强加密套件配置

ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305';
ssl_prefer_server_ciphers on;

2. HSTS头部

add_header Strict-Transport-Security "max-age=63072000; includeSubDomains; preload";

六、文件上传防护

1. 限制上传文件类型

location ^~ /uploads/ {
    client_max_body_size 10M;

    if ($request_filename ~* ^.*?\.(php|php5|sh|py|pl|exe)$) {
        return 403;
    }
}

2. 禁用特定目录脚本执行

location ~* /(uploads|images|assets)/.*\.(php|jsp|asp|aspx)$ {
    deny all;
}

七、日志与监控

1. 详细访问日志配置

log_format security '$remote_addr - $remote_user [$time_local] '
                   '"$request" $status $body_bytes_sent '
                   '"$http_referer" "$http_user_agent" '
                   '$request_time $upstream_response_time '
                   '"$http_x_forwarded_for" "$http_cookie"';

2. 实时监控配置

# 监控异常请求
tail -f /var/log/nginx/access.log | grep -E 'union.*select|benchmark|sleep\(|-- |\/etc\/passwd'

八、定期维护建议

  1. 保持Nginx更新:定期升级到最新稳定版本
  2. 审计配置:每月检查一次Nginx配置安全性
  3. 漏洞扫描:使用工具如Nessus、OpenVAS定期扫描
  4. 备份配置:配置变更前做好备份
  5. 最小权限原则:Nginx进程以非root用户运行

通过以上配置和策略,可以显著提高Nginx服务器的安全性,有效防范SQL注入和其他常见Web攻击。

上一篇:Nginx在生产环境中的安全实践
下一篇:Nginx反向代理的DNS安全

推荐文章

热门文章

关于我们 | 免责声明 | 注册协议 | 客服QQ: 236095280 236095279
Copyright©2018-2025 All Rights Reserved. 琼ICP备16003363号-7