记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

NGINX速率限制原理及源码分析

收录于话题 作者 | 皮皮鲁原文链接:点击【阅读原文】查看原文概述NGINX速率限制是一个很重要的流量管理模块,用来限制单位时间的请求数。通过正确有效地配置,特定客户端对某一个URI的访问频率频率可以得到有效地限制, 从而可以有效地减缓暴力密码破解攻击,也可以有效减缓DDOS攻击的破坏性,还可以防止上游服务器被大量并发的请求耗尽资源。本篇文章我们就速度限制功能的原理和源代码进行解析,从而可以更好地理解和使用速度限制功能。原理漏桶(Leaky Bucket)算法和令牌桶(Token Bucket)算法被广泛使用于通信领域进行流量整形和速率控制。
发布时间:2021-09-12 00:38 | 阅读:5055 | 评论:0 | 标签:nginx 分析

CentOS7下利用自带防火墙+Nginx封堵高频访问的恶意IP

0x01 调整时间格式首先:查看nginx的默认日志的时间格式[root@VM-0-13-centos ~]# more /var/log/nginx/access.log时间格式是:28/Jul/2021:03:36:02 +0800这个格式在写shell脚本的时候,date命令无法识别,所以我们需要更改nginx默认的日期格式。
发布时间:2021-08-26 03:42 | 阅读:9961 | 评论:0 | 标签:防火墙 nginx

诸子云 | 话题:sdp代替dlp?nginx成业务反向代理入口?

#诸子云话题 10个  ☝戳上方查看往期“诸子云话题”戳这里查看更多话题精彩内容两年间,安在采编“诸子云”社群日常交流(各会员群内脑力碰撞)之精华,出品“微话题”栏目,两年多时间里,先后整理上千次讨论,汇整数百个热点话题,发布数十期文章,涉及企业网络安全最佳实践方方面面、角角落落。与此同时,我们还以月为单位,把所有经过整理的讨论内容归档到诸子云知识星球,让微话题可沉淀、能检索,成为可持续输出价值的甲方“新鲜事儿”。我们诚挚欢迎更多朋友进入到诸子星球,参与话题讨论。
发布时间:2021-08-25 19:28 | 阅读:8523 | 评论:0 | 标签:nginx 代理

Nginx-ingress 控制器到底怎样实现的,这篇文章教你看明白了

主机 nginx一般 nginx 做主机反向代理(网关)有以下配置upstream order{ server 192.168.1.10:5001; server 192.168.1.11:5001;}server { listen 80; server_name order.example.com; access_l
发布时间:2021-08-09 09:43 | 阅读:11065 | 评论:0 | 标签:nginx

Nginx文件名逻辑漏洞(CVE-2013-4547)

#vulhub 2 #中间件漏洞 2 漏洞说明2013年底,nginx再次爆出漏洞(CVE-2013-4547),此漏洞可导致目录跨越及代码执行,主要原因是nginx因为00截断错误地解析了请求的 URI ,将获取到用户请求的文件名解析为对应的脚本程序,导致出现权限绕过、代码执行等连带影响,从而实现getshell的过程。
发布时间:2021-08-08 20:19 | 阅读:11356 | 评论:0 | 标签:漏洞 nginx CVE

猪八戒网Nginx的动态服务发现演进之路

随着业务访问量的直线增长,业务项目数量也越来越多,期间各个业务项目的频繁上线、回滚、动态扩容与缩容等,促使了微服务架构的流行,又新引入了容器化部署发布方式,当容器发布及重建的时候,实例IP将会发生变化,如果我们还是继续通过手工维护后端的Upstream配置,将导致Upstream配置不可维护,且Nginx频繁reload会造成QPS波动。本文将分为四个阶段来叙述猪八戒网这十年Nginx的动态服务发现演进之路。阶段一:手工配置早期猪八戒网的应用较少、架构简单,业务项目都是运行在虚拟机或物理机上,都是通过手工配置Nginx后端应用的Upstream文件,然后进行nginx -s reload。
发布时间:2021-08-04 10:12 | 阅读:11680 | 评论:0 | 标签:nginx

Linux学习进阶必备!《基于Nginx高可用架构》源码学习笔记开放下载

Nginx 是一个遵循主从架构的 Web 服务器,可以用作反向代理、负载均衡器、邮件代理和 HTTP 缓存。哇!复杂的术语和混乱的定义,里面充斥着大量令人困惑的词语,对吧?不用担心,我可以帮大家先了解 Nginx 的基本架构和术语,然后我们将安装并创建 Nginx 配置。简单来说,Web 服务器就像个中间人。比如你想访问 dev.to,输入地址 https://dev.to,你的浏览器就会找出 https://dev.to 的 Web 服务器地址,然后将其定向到后台服务器,后台服务器会把响应返回给客户端。
发布时间:2021-07-12 14:18 | 阅读:19872 | 评论:0 | 标签:nginx linux 学习

CVE-2021-23017:nginx DNS解析漏洞PoC公开

漏洞评级高危漏洞确认受影响版本0.6.18 - 1.20.0确认修复版本1.21.0、1.20.1厂商F5, Inc厂商官网https://nginx.org/厂商参考资料https://mailman.nginx.org/pipermail/nginx-announce/2021/000300.html漏洞CVECVE-2021-23017CWE193CVSS评分8.1漏洞概述及影响在处理DNS响应时,ngx_resolver_copy()中的一个off-by-one错误将允许网络攻击者在堆分配的缓冲区中写入超出边界的点字符(‘.’, 0x2E)。
发布时间:2021-06-15 11:19 | 阅读:91439 | 评论:0 | 标签:漏洞 nginx CVE

小鱼易连视频系统-Nginx LUA脚本远程命令执行

上来就fofa大法:title="云视讯管理平台"找到页面了之后寻找该该系统的OpenReaty页面,一般都在其他端口上。漏洞特征:通过访问“/package?path=`Liunx命令`”可直接构造远程代码执行。
发布时间:2021-06-07 09:38 | 阅读:42114 | 评论:0 | 标签:nginx 远程 执行

终于有人把Nginx说清楚了,图文详解!

想必大家一定听说过Nginx,若没听说过它,那么一定听过它的“同行”Apache吧!Nginx的产生Nginx同Apache一样都是一种Web服务器,基于REST架构风格,以统一资源描述符(Uniform Resources Identifier)URI或者统一资源定位符(Uniform Resources Locator)URL作为沟通依据,通过HTTP协议提供各种网络服务。然而,这些服务器在设计之初受到当时环境的局限,例如当时的用户规模,网络带宽,产品特点等局限并且各自的定位和发展都不尽相同。这也使得各个Web服务器有着各自鲜明的特点。
发布时间:2021-05-19 08:38 | 阅读:41472 | 评论:0 | 标签:nginx

Nginx 这个功能厉害了!

作者:废物大师兄链接:https://www.cnblogs.com/cjsblog/p/12163207.html1、需求将生产环境的流量拷贝到预上线环境或测试环境,这样做有很多好处,比如:可以验证功能是否正常,以及服务的性能;用真实有效的流量请求去验证,又不用造数据,不影响线上正常访问;这跟灰度发布还不太一样,镜像流量不会影响真实流量;可以用来排查线上问题;重构,假如服务做了重构,这也是一种测试方式;为了实现流量拷贝,Nginx提供了ngx_http_mirror_module模块2、安装Nginx首页,设置yum仓库。
发布时间:2021-05-17 14:10 | 阅读:51844 | 评论:0 | 标签:nginx

Nginxpwner-Nginx漏洞扫描

#模糊测试 2 #漏洞挖掘 3 #渗透测试 15 Nginxpwner是一个简单的工具,可以查找常见的Nginx错误配置和漏洞。    安装:cd /optgit clon
发布时间:2021-05-02 22:26 | 阅读:72003 | 评论:0 | 标签:扫描 漏洞 nginx

Nginx_lua 100参数绕过原理详解

一、环境搭建 Nginx_lua 安装 https://github.com/openresty/lua-nginx-module#installation wget 'https://openresty.org/download/nginx-1.19.3.tar.gz' tar -xzvf nginx-1.19.3.tar.gz cd nginx-1.19.3/
发布时间:2021-04-01 21:42 | 阅读:67513 | 评论:0 | 标签:nginx

五个常见的Nginx配置错误

作为互联网上最常用的Web服务器之一,Nginx因轻巧、模块化并且有对用户友好的配置格式而广受欢迎。一旦Nginx出现错误配置,那么你的网站就很危险。Detectify分析了从GitHub下载的近50000个不重复的Nginx配置文件,发现了一些常见的错误配置:根目录位置丢失server { root /etc/nginx; location /hello.txt { try_files $uri $uri/ =404; proxy_pass http://127.0.0.1:8080/; }}root指令指定Nginx的根文件夹。
发布时间:2021-03-29 15:58 | 阅读:60865 | 评论:0 | 标签:nginx

神器 nginx 的学习手册(建议收藏)

收录于话题 Nginx 是一个高性能的 HTTP 和反向代理服务器,特点是占用内存少,并发能力强,事实上 Nginx 的并发能力确实在同类型的网页服务器中表现较好。Nginx 专为性能优化而开发,性能是其最重要的要求,十分注重效率,有报告 Nginx 能支持高达 50000 个并发连接数。Nginx 知识网结构图Nginx 的知识网结构图如下:反向代理正向代理:局域网中的电脑用户想要直接访问网络是不可行的,只能通过代理服务器来访问,这种代理服务就被称为正向代理。
发布时间:2021-03-11 08:29 | 阅读:91853 | 评论:0 | 标签:nginx 学习

记一次GDB调试nginx运行流程

简介在nginx源代码中有大量的任务被加到红黑树中,或者通过注册回调函数来实现,通过阅读源码很难发现和跟踪执行流程。但是通过调试nginx代码可以很清晰的跟踪nginx执行的流程,可以很直观的发现一次http请求响应完整处理生命周期。
发布时间:2021-01-24 17:01 | 阅读:42051 | 评论:0 | 标签:nginx

nginx回源时bind ip的一些优化

简介proxy_bind隶属于proxy_module,为向后端建立连接时的local ip,在nginx源码中只支持bind一个ip进行回源,若想使用多个ip进行回源时,可以修改源码支持bind ip数组。在实际应用中我就是这样做的。bind ip数据轮询选择ip进行回源与upstream建立连接,以解决单ip回源连接数限制问题。下面proxy_bind部分就是针对proxy_bind进行优化后的代码,支持bind多ip。
发布时间:2021-01-24 17:01 | 阅读:44407 | 评论:0 | 标签:nginx

基于 Nginx 的 HTTPS 证书配置实践

收录于话题 HTTPS 的好处就不多说了,不过随着 Chrome 和 FireFox 在地址栏添加了明显的锁标识,甚至在用户访问网页的时候会显示这样一来,我们就不得不给自己的站点加上 SSL 证书,否则会损失不少的访问量。免费的证书从哪里申请收费的 SSL 证书到处都是,如果是安全性较高(例如包含资金往来、个人敏感信息)的站点,购买收费证书会比免费证书好。如果只是个人专栏、企业官网等,可以选择国内几大云服务商(华为云、阿里云、腾讯云)提供的免费证书。这里以腾讯云为例,登录腾讯云官网后打开 SSL 控制台[1],界面如下图所示:点击申请免费证书后按照指引操作即可获得为期一年的免费 SSL 证书。
发布时间:2021-01-13 10:41 | 阅读:37024 | 评论:0 | 标签:nginx

一篇文章快速上手 Nginx

收录于话题 Nginx 简介什么是 Nginx?Nginx(engine x)是一款轻量级的 Web 服务器 、反向代理服务器及电子邮件(IMAP/POP3)代理服务器。什么是反向代理?反向代理(Reverse Proxy)方式是指以代理服务器来接受 internet 上的连接请求,然后将请求转发给内部网络上的服务器,并将从服务器上得到的结果返回给 internet 上请求连接的客户端,此时代理服务器对外就表现为一个反向代理服务器。
发布时间:2021-01-12 08:59 | 阅读:75020 | 评论:0 | 标签:nginx

就是要让你搞懂Nginx,这篇就够了!

收录于话题 Nginx 是一个高性能的 HTTP 和反向代理服务器,特点是占用内存少,并发能力强,事实上 Nginx 的并发能力确实在同类型的网页服务器中表现较好。Nginx 专为性能优化而开发,性能是其最重要的要求,十分注重效率,有报告 Nginx 能支持高达 50000 个并发连接数。Nginx 知识网结构图Nginx 的知识网结构图如下:反向代理正向代理:局域网中的电脑用户想要直接访问网络是不可行的,只能通过代理服务器来访问,这种代理服务就被称为正向代理。
发布时间:2021-01-12 08:59 | 阅读:90182 | 评论:0 | 标签:nginx

21-1-5 | 新增复现靶场之nginx漏洞学习

收录于话题 高质量的安全文章,安全offer面试经验分享尽在 # 掌控安全EDU #2021年的第一场新增靶场你挑战了吗?封神台-掌控安全在线演练靶场,一个在线黑客攻防演练平台。
发布时间:2021-01-05 17:45 | 阅读:89592 | 评论:0 | 标签:漏洞 nginx 学习 靶场

Nginx安全配置

收录于话题 0x00 测试环境操作系统:CentOS6.5Web服务器:Nginx1.4.6Php版本:Php5.4.260x01 Nginx介绍nginx本身不能处理PHP,它只是个web服务器,当接收到请求后,如果是php请求,则发给php解释器处理,并把结果返回给客户端。nginx一般是把请求发fastcgi管理进程处理,fastcgi管理进程选择cgi子进程处理结果并返回被nginx。nginx涉及到两个账户,一个是nginx的运行账户,一个是php-fpm的运行账户。
发布时间:2020-12-29 08:31 | 阅读:50710 | 评论:0 | 标签:nginx 安全

Nginx 五大常见应用场景,Linux运维请收藏~

收录于话题 来源:马哥运维Nginx 是一个很强大的高性能 Web 和反向代理服务,它具有很多非常优越的特性,在连接高并发的情况下,Nginx 是 Apache 服务不错的替代品。其特点是占有内存少,并发能力强,事实上 nginx 的并发能力在同类型的网页服务器中表现较好,因此国内知名大厂例如:淘宝,京东,百度,新浪,网易,腾讯等等都在使用 Nginx 网站。
发布时间:2020-12-22 14:41 | 阅读:38305 | 评论:0 | 标签:nginx linux

Nginx配置各种响应头防止XSS点击劫持,frame恶意攻击

本文作者:讨厌自己明明不甘平凡,却又不好好努力.周常见本文链接:https://www.cnblogs.com/you-men/p/13387316.html为什么要配置HTTP响应头?不知道各位有没有被各类XSS攻击、点击劫持 (ClickJacking、 frame 恶意引用等等方式骚扰过,百度联盟被封就有这些攻击的功劳在里面。为此一直都在搜寻相关防御办法,至今效果都不是很好,最近发现其实各个浏览器本身提供了一些安全相关的响应头,使用这些响应头一般只需要修改服务器配置即可,不需要修改程序代码,成本很低。至于具体的效果只能是拭目以待了,但是感觉还是有一定的效果的。
发布时间:2020-12-09 12:43 | 阅读:54501 | 评论:0 | 标签:xss nginx 攻击

nginx动态修改upstream ngx_http_dyups_module源码分析

简介nginx 动态修改upstream不reload nginx模块,ngx_http_dyups_module分析。主要围绕https://github.com/yzprofile/ngx_http_dyups_module/blob/master/ngx_http_dyups_module.c进行分析记录下来。
发布时间:2020-12-01 11:59 | 阅读:38601 | 评论:0 | 标签:nginx

Golang + Nginx 动手写一个静态Pornhub网站

最近这一段时间都在学习Golang,想写点东西练练手。一开始是想用golang写爬虫什么的但是感觉太简单了,不如写一个网站吧!想了想我对P站很熟悉,之前有写过nginx反代P站视频的文章。不如结合起来自己写一个静态的P站吧,于是就做了一个demo出来。整个Golang的代码也不多,很适合新手练练手。首先分析整个网站的构思,内容也就是图片视频标题连接从哪里来?这个当然是从Pornhub上直接抓取。其次既然是静态网站,那么除了视频页面的获取,其他的基本没有和后端的交互,页面也是后端渲染好直接给前端。而视频的播放就直接交给nginx来处理就行了。大致就这么简单,其他的细节后面详述。
发布时间:2020-11-12 03:28 | 阅读:167143 | 评论:0 | 标签:学习笔记 nginx

phpstudy nginx解析漏洞

用的是phpstudy部署的,昨天看到那篇文章了,就用我的服务器测试了一下。     新建一个内容为<?php phpinfo();?>的 记事本,重命名保存为1.jpg     直接访问内网地址     然后加入/.php       成功执行phpinfo();   漏洞分析 这是我的生产环境,根据漏洞特性,大概率就是fastcgi的问题。
发布时间:2020-10-02 15:27 | 阅读:83584 | 评论:0 | 标签:安全 fastcgi PHP script 漏洞 nginx

phpStudy默认配置致Nginx解析漏洞复现

收录于话题 #漏洞复现文章合集 54个 上方蓝色字体关注我们,一起学安全!作者:小泫@Timeline Sec新成员本文字数:731阅读时长:2~3min声明:请勿用作违法用途,否则后果自负0x01 简介phpStudy是一个PHP调试环境的程序集成包。该程序包集成最新的Apache+PHP+MySQL+phpMyAdmin+ZendOptimizer,一次性安装,无须配置即可使用,是非常方便、好用的PHP调试环境。0x02 漏洞概述此次漏洞是Nginx的解析漏洞,由于phpstudy中配置文件的不当,造成了/xx.php解析漏洞,故此将文件解析为php运行。
发布时间:2020-09-05 18:57 | 阅读:70611 | 评论:0 | 标签:漏洞 nginx PHP

PHPStudy存在nginx解析漏洞

CNVD-IDCNVD-2020-50505公开日期2020-09-04危害级别 高(AV:N/AC:L/Au:N/C:C/I:C/A:C) 影响产品安徽小皮教育科技有限公司 PHPStudy Windows版本 <=8.1.0.7漏洞描述PHPStudy是一个PHP调试环境的程序集成包。PHPStudy存在nginx解析漏洞,攻击者可利用该漏洞通过上传功能,将包含恶意代码的合法文件类型上传至服务器,从而造成任意代码执行的影响。该漏洞仅存在于phpStudy Windows版,Linux版不受影响。
发布时间:2020-09-04 19:47 | 阅读:77112 | 评论:0 | 标签:漏洞 nginx PHP

PhpStudy默认Nginx解析漏洞复现

收录于话题 #漏洞复现文章合集 54个 上方蓝色字体关注我们,一起学安全!作者:小泫@Timeline Sec新成员本文字数:705阅读时长:2~3min声明:请勿用作违法用途,否则后果自负0x01 简介phpStudy是一个PHP调试环境的程序集成包。该程序包集成最新的Apache+PHP+MySQL+phpMyAdmin+ZendOptimizer,一次性安装,无须配置即可使用,是非常方便、好用的PHP调试环境。0x02 漏洞概述该漏洞由于phpstudy(小皮面板)在配置Nginx+php环境中Nginx默认版本在1.15.11中存在Nginx解析漏洞,故此可以将文件解析为php运行。
发布时间:2020-09-04 12:14 | 阅读:93508 | 评论:0 | 标签:漏洞 nginx PHP

公告

永久免费持续更新精选优质黑客技术文章Hackdig,帮你成为掌握黑客技术的英雄

求赞助求支持💖

标签云