nginx防SQL注入与文件注入的相关安全设置

作者：Kanxsg | 来源：互联网 | 2017-07-02 18:40

配置文件可以在一定程度上防止sql与文件形式的注入，放在配置文件的server块里面。server{[...]##BlockSQLinjectionsset$block_sql_injections0;if($query_string~"union.*select.*\("){set$block_sql_injections1;}if($query_string

配置文件可以在一定程度上防止sql与文件形式的注入，放在配置文件的server块里面。

server{
[...]
## Block SQL injections
set$block_sql_injections0;
if($query_string ~ "union.*select.*\("){
set$block_sql_injections1;
}
if($query_string ~ "union.*all.*select.*"){
set$block_sql_injections1;
}
if($query_string ~ "concat.*\("){
set$block_sql_injections1;
}
if($block_sql_injections = 1){
return403;
}
## Block file injections
set$block_file_injections0;
if($query_string ~ "[a-zA-Z0-9_]=http://"){
set$block_file_injections1;
}
if($query_string ~ "[a-zA-Z0-9_]=(\.\.//?)+"){
set$block_file_injections1;
}
if($query_string ~ "[a-zA-Z0-9_]=/([a-z0-9_.]//?)+"){
set$block_file_injections1;
}
if($block_file_injections = 1){
return403;
}
## Block common exploits
set$block_common_exploits0;
if($query_string ~ "(<|%3C).*script.*(>|%3E)"){
set$block_common_exploits1;
}
if($query_string ~ "GLOBALS(=|\[|\%[0-9A-Z]{0,2})"){
set$block_common_exploits1;
}
if($query_string ~ "_REQUEST(=|\[|\%[0-9A-Z]{0,2})"){
set$block_common_exploits1;
}
if($query_string ~ "proc/self/environ"){
set$block_common_exploits1;
}
if($query_string ~ "mosConfig_[a-zA-Z_]{1,21}(=|\%3D)"){
set$block_common_exploits1;
}
if($query_string ~ "base64_(en|de)code$.*$"){
set$block_common_exploits1;
}
if($block_common_exploits = 1){
return403;
}
## Block spam
set$block_spam0;
if($query_string ~ "\b(ultram|unicauca|valium|viagra|vicodin|xanax|ypxaieo)\b"){
set$block_spam1;
}
if($query_string ~"\b(erections|hoodia|huronriveracres|impotence|levitra|libido)\b"){
set$block_spam1;
}
if($query_string ~ "\b(ambien|blue\spill|cialis|cocaine|ejaculation|erectile)\b"){
set$block_spam1;
}
if($query_string ~"\b(lipitor|phentermin|pro[sz]ac|sandyauer|tramadol|troyhamby)\b"){
set$block_spam1;
}
if($block_spam = 1){
return403;
}
## Block user agents
set$block_user_agents0;
# Don&＃39;t disable wget if you need it to run cron jobs!
#if ($http_user_agent ~ "Wget") {
# set $block_user_agents 1;
#}
# Disable Akeeba Remote Control 2.5 and earlier
if($http_user_agent ~ "Indy Library"){
set$block_user_agents1;
}
# Common bandwidth hoggers and hacking tools.
if($http_user_agent ~ "libwww-perl"){
set$block_user_agents1;
}
if($http_user_agent ~ "GetRight"){
set$block_user_agents1;
}
if($http_user_agent ~ "GetWeb!"){
set$block_user_agents1;
}
if($http_user_agent ~ "Go!Zilla"){
set$block_user_agents1;
}
if($http_user_agent ~ "Download Demon"){
set$block_user_agents1;
}
if($http_user_agent ~ "Go-Ahead-Got-It"){
set$block_user_agents1;
}
if($http_user_agent ~ "TurnitinBot"){
set$block_user_agents1;
}
if($http_user_agent ~ "GrabNet"){
set$block_user_agents1;
}
if($block_user_agents = 1){
return403;
}
}

推荐阅读

go
每天收获一点点Hadoop概述

一、Hadoop来历Hadoop的思想来源于Google在做搜索引擎的时候出现一个很大的问题就是这么多网页我如何才能以最快的速度来搜索到，由于这个问题Google发明 ... [详细]

蜡笔小新 2023-12-14 18:58:01
int
Android 新闻App的本地服务器搭建教程

本文介绍了在开发Android新闻App时，搭建本地服务器的步骤。通过使用XAMPP软件，可以一键式搭建起开发环境，包括Apache、MySQL、PHP、PERL。在本地服务器上新建数据库和表，并设置相应的属性。最后，给出了创建new表的SQL语句。这个教程适合初学者参考。 ... [详细]

蜡笔小新 2023-12-14 17:15:19
web
postman测试登录后的接口_使用postman进行接口测试的方法(测试用户管理模块)

本文介绍了使用postman进行接口测试的方法，以测试用户管理模块为例。首先需要下载并安装postman，然后创建基本的请求并填写用户名密码进行登录测试。接下来可以进行用户查询和新增的测试。在新增时，可以进行异常测试，包括用户名超长和输入特殊字符的情况。通过测试发现后台没有对参数长度和特殊字符进行检查和过滤。 ... [详细]

蜡笔小新 2023-12-14 10:29:45
int
Oracle分析函数first_value()和last_value()的用法及原理

本文介绍了Oracle分析函数first_value()和last_value()的用法和原理，以及在查询销售记录日期和部门中的应用。通过示例和解释，详细说明了first_value()和last_value()的功能和不同之处。同时，对于last_value()的结果出现不一样的情况进行了解释，并提供了理解last_value()默认统计范围的方法。该文对于使用Oracle分析函数的开发人员和数据库管理员具有参考价值。 ... [详细]

蜡笔小新 2023-12-13 19:07:23
int
VB.NET在线急等问题解决方法，如何统计数据库字段下的数据并显示在文本框里？

本文介绍了一个在线急等问题解决方法，即如何统计数据库中某个字段下的所有数据，并将结果显示在文本框里。作者提到了自己是一个菜鸟，希望能够得到帮助。作者使用的是ACCESS数据库，并且给出了一个例子，希望得到的结果是560。作者还提到自己已经尝试了使用"select sum(字段2) from 表名"的语句，得到的结果是650，但不知道如何得到560。希望能够得到解决方案。 ... [详细]

蜡笔小新 2023-12-13 15:15:30
int
CentOS安装Python2.7.2的步骤和注意事项

本文介绍了在CentOS上安装Python2.7.2的详细步骤，包括下载、解压、编译和安装等操作。同时提供了一些注意事项，以及测试安装是否成功的方法。 ... [详细]

蜡笔小新 2023-12-12 13:54:31
import
延迟注入工具（python）的SQL脚本

本文介绍了一个延迟注入工具（python）的SQL脚本，包括使用urllib2、time、socket、threading、requests等模块实现延迟注入的方法。该工具可以通过构造特定的URL来进行注入测试，并通过延迟时间来判断注入是否成功。 ... [详细]

蜡笔小新 2023-12-12 10:36:42
int
欢乐的票圈重构之旅——RecyclerView的头尾布局增加

项目重构的Git地址：https:github.comrazerdpFriendCircletreemain-dev项目同步更新的文集：http:www.jianshu.comno ... [详细]

蜡笔小新 2023-12-11 19:09:56
int
介绍一个免费的具备数据显示/录入/更新/删除功能的asp.net控件

本文介绍了一个免费的asp.net控件，该控件具备数据显示、录入、更新、删除等功能。它比datagrid更易用、更实用，同时具备多种功能，例如属性设置、数据排序、字段类型格式化显示、密码字段支持、图像字段上传和生成缩略图等。此外，它还提供了数据验证、日期选择器、数字选择器等功能，以及防止注入攻击、非本页提交和自动分页技术等安全性和性能优化功能。最后，该控件还支持字段值合计和数据导出功能。总之，该控件功能强大且免费，适用于asp.net开发。 ... [详细]

蜡笔小新 2023-12-11 09:41:26
web
揭秘阿里云WAF背后神秘的AI智能防御体系

背景应用安全领域，各类攻击长久以来都危害着互联网上的应用，在web应用安全风险中，各类注入、跨站等攻击仍然占据着较前的位置。WAF(Web应用防火墙)正是为防御和阻断这类攻击而存在 ... [详细]

蜡笔小新 2023-12-11 01:30:52
web
互联网思维中的3个段子，9大分类和19条法则

本文介绍了互联网思维中的三个段子，涵盖了餐饮行业、淘品牌和创业企业的案例。通过这些案例，探讨了互联网思维的九大分类和十九条法则。其中包括雕爷牛腩餐厅的成功经验，三只松鼠淘品牌的包装策略以及一家创业企业的销售额增长情况。这些案例展示了互联网思维在不同领域的应用和成功之道。 ... [详细]

蜡笔小新 2023-12-10 14:58:10
web
Mybatis中#与$的区别及其作用详解

本文详细介绍了Mybatis中#与$的区别及其作用。#{}可以防止sql注入，拼装sql时会自动添加单引号，适用于单个简单类型的形参。${}则将拿到的值直接拼装进sql，可能会产生sql注入问题，需要手动添加单引号，适用于动态传入表名或字段名。#{}可以实现preparedStatement向占位符中设置值，自动进行类型转换，有效防止sql注入，提高系统安全性。 ... [详细]

蜡笔小新 2023-12-10 14:30:39
web
go利用(*interface{})(nil)传递参数类型的原理及应用

本文介绍了在go语言中利用(*interface{})(nil)传递参数类型的原理及应用。通过分析Martini框架中的injector类型的声明，解释了values映射表的作用以及parent Injector的含义。同时，讨论了该技术在实际开发中的应用场景。 ... [详细]

蜡笔小新 2023-12-10 11:37:12
int
Simple Tips on C++(对于C++的一些建议)

Introduction（简介）Forbeingapowerfulobject-orientedprogramminglanguage,Cisuseda ... [详细]

蜡笔小新 2023-10-17 19:48:02
int
从壹开始前后端分离【 .NET Core2.0 +Vue2.0 】框架之六 || API项目整体搭建 6.1 仓储模式

代码已上传Github+Gitee，文末有地址　　书接上文：前几回文章中，我们花了三天的时间简单了解了下接口文档Swagger框架，已经完全解放了我们的以前的Word说明文档，并且可以在线进行调 ... [详细]

蜡笔小新 2023-10-17 18:25:42

Kanxsg

这个家伙很懒，什么也没留下！

Tags | 热门标签

RankList | 热门文章