Nginx不安全配置可能导致的安全漏洞

前言：

Nginx (engine x) 是一个高性能的http和反向服务器，也可以作为IMAP/POP3/SMTP服务器。t engine是由淘宝网发起的Web服务器项目。它在 Nginx 的基础上，针对大访问量网站的需求，添加了很多高级功能和特性。

在渗透测试过程中发现很多网站使用了nginx或者tenginx来做反向代理，ningx的配置文件nginx.conf的一些错误配置可能引发一些安全漏洞。下面是总结的一些可能引发安全问题的错误配置，并且推荐了github上一款用于检测nginx安全配置的工具。

Ningx.conf配置一共分为4部分： 1.顶级配置 2. Events 模块 3.http部分 4.server部分

0×00任意文件读取

这个常见于Nginx做反向代理的情况，动态的部分被proxy_pass传递给后端端口，而静态文件需要Nginx来处理。假设静态文件存储在/home/目录下，而该目录在url中名字为files，那么就需要用alias设置目录的别名：

location /files {

alias /home/;

}

此时访问 http://127.0.0.1:8080/files/1.txt ，就可以获取 /home/1.txt 文件。

我们发现，url上 /files 没有加后缀 / ，而alias设置的 /home/ 是有后缀 / 的，这个 / 就导致我们可以从 /home/ 目录穿越到他的上层目录，造成任意文件下载：

修复方法：不写成上面那种有漏洞的形式，比如可以写成结尾都带着 / 字符。

0×01$uri导致的CRLF注入

在实际业务场景中经常需要在nginx中配置路径跳转。

比如用户访问http://x.com 自动跳转到https://x.com 或者是访问 http://x.com 自动跳转到 http://www.x.com

在跳转的过程中，我们需要保证用户访问的页面不变，所以需要从Nginx获取用户请求的文件路径，有三个可以表示uri的变量：

$uri

$document_uri

$request_uri

$uri 和 $document_uri表示的是解码以后的请求路径，不带参数,$request_uri表示的是完整的URI（没有解码）,如果在nginx.conf中配置了下列的代码：

location /test {
             return 302 http://$host:81$uri;
                 }

因为 $uri 是解码以后的请求路径，所以可能就会包含换行符，也就造成了一个CRLF注入漏洞。

该漏洞除了发生在 return后面，也可能发生在r ewrite、 a dd_header、p roxy_set_header、p roxy_pass之后。

修复方式：将 $uri或者$document_uri 改为 $request_uri 。

0×02 SSRF

SSRF(服务端请求伪造)漏洞常出现在反向代理的配置中，反向代理的语法如下：proxy_pass http ://IP

如果攻击者可以操控IP, 将其修改成内网IP地址即可造成SSRF漏洞。

0×03目录遍历

autoindex off; #是否开启目录列表访问，默认关闭。

若设置成 autoindex on;

0x04nginx版本泄露

对于nginx服务器，之前曾爆出过不同版本的解析漏洞，比如 nginx 0.7.65以下（0.5.*, 0.6.*, 0.7.* ）全版本系列和0.8.37（0.8.*）以下8系列受影响。下面假设在存在漏洞的站点上有一张图片url地址为： http://x.x.x.x/logo.jpg 而当我们正常访问图片时，nginx会把这个当作非脚本语言直接读取传送会客户端（也就是浏览器），但是

存在解析漏洞的nginx会把如下连接解析并且当作php文件执行~：

http://x.x.x.x/logo.jpg/x.php

http://x.x.x.x/logo.jpg%00x.php

因此隐藏 Nginx 的版本号，提高安全性。

在配置文件nginx.conf里面,设置如下： server_tokens off;