nginx 配置安全

不畏将来,不念过往。如此,安好!

Someone famous 丰子恺

$uri 导致的CRLF的漏洞

例子:

location / {
    return 302 https://$host$uri;
}

$uri 表示解码以后的url 路径 可以包含/r/n 造成header改写


目录穿越

例子

location /files {
    alias /home/;
}


/files../  == /home/../  穿越到上层目录



标签

注意!

Warning! 关注一下!