欢迎光临 Rick 's BLOG
日志首页  | C# .Net编程  | 原创作品  | 生活点滴  | C\C++相关  | 多媒体相关※ERMP  | VB相关  | 其它运维与编程  |  留言簿
nginx配置中location匹配顺序优先级的问题 如何避免发布EXE失败、误报,以及微软windows defender误报提交方法
晴天  查看网站日志发现被扫描了,nginx如何预防性的设置防止帐号信息泄漏?
[ 发布日期:12个月前 (12-04) ]   [ 来自:本站原创 ] [分类:生活点滴]
大概分类了一下访问。扫描的访问一般是工具提交的。
特点是访问网站中的特定目录或者文件。
这一类工具应该是通过特定目录和文件来确定网站系统程序,然后利用网站程序的漏洞进行攻击。

还有一些是访问git,vscode等代码管理工具的配置信息。
这一类的风险比较高,如果操作失误将帐号配置信息上传到网站上了就可能会导致信息泄漏。
然后引发更大的风险。

下面这样的地址(实际日志中的比较多,这里只简单列举几个例子):
https://www.rickw.cn/actuator/gateway/routes
https://www.rickw.cn/console/
https://www.rickw.cn/version
https://www.rickw.cn/Autodiscover/Autodiscover.xml
https://www.rickw.cn/wp-content/plugins/td-composer/license.txt
http://www.rickw.cn/wp-content/plugins/userpro/skins/elegant/style.css
https://www.rickw.cn/geoserver/web/
https://www.rickw.cn/static/admin/javascript/hetong.js
https://www.rickw.cn/Public/home/js/check.js
https://www.rickw.cn/WuEL
http://www.rickw.cn/telescope/requests
http://www.rickw.cn/ecp/Current/exporttool/microsoft.exchange.ediscovery.exporttool.application

上这些扫描应该是判断网站程序是什么系统。

下面是配置信息的扫描地址(这个安全隐患比较大,误操作的话就容易出现事故)
https://www.rickw.cn/.git/config
https://www.rickw.cn/core/.env
https://www.rickw.cn/.env
http://www.rickw.cn/config.json
http://www.rickw.cn/.DS_Store
http://www.rickw.cn/.vscode/sftp.json


.env一般php开发框架都会在跟目录有一个,这里面可能会有配置数据库的连接帐号信息等。
.git .DS_Store是源代码管理工具的配置文件。
如果你的网站使用了通过源代码管理工具自动更新的话,这里面可能会有源代码管理系统的帐号密码。

.vscode这个,如果你使用vscode开发,并通过vscode上传代码到服务器,可能会设置了服务器的sftp帐号信息。

对于这一类我们可以提前进行预防,在nginx中配置 "." 点开头的文件夹和文件禁止访问。
然后对于网站中有json配置的,也可以预防禁止访问json文件。

[复制到剪贴板]

    
     location 
^~ /. {
        
deny all;
    }
 



上面的写法会禁止网站根目录下的.文件和目录。

如果还要禁止子目录,可以采用正则表达式的写法。
[复制到剪贴板]

    
     location 
~ (.*)/\.(.+) {
        
deny all;
    }
 




禁止json文件的写法:
[复制到剪贴板]

    
     location 
~ (.*)\.json {
        
deny all;
    }
 






引用通告地址 (0):
复制引用地址https://www.rickw.cn/trackback/289
复制引用地址https://www.rickw.cn/trackback/289/GBK
[ 分类:生活点滴  | 查看:1026 ]

暂时没有评论,快来发表一个评论吧。
发表评论
作者:   用户:[访客] 
评论:

表  情
禁止表情 | 禁止UBB | 禁止图片 | 识别链接
对不起,你没有权限上传附件!
验证:
 
PoweredBy R-Blog V1.00 © 2004-2024 WWW.RICKW.CN, Processed in second(s) , 7 queries    京ICP备17058477号-5