nginx 配置错误导致目录遍历漏洞的解决方法

发布时间:2020-10-21编辑:脚本学堂
本文介绍下,在nginx中由于配置错误而导致目录遍历漏洞的解决方法,有需要的朋友,参考一下吧。

漏洞版本:
nginx(Tested at 1.1.10)

漏洞描述:
在nginx中开启autoindex,配置不规范而造成目录遍历漏洞。

配置如下:
  

复制代码 代码示例:
  server {
    listen 80;
    server_name jb200.com;
    index index.htm index.html;
    root /home/wwwroot/www;
    access_log off;
    location /paper {
    alias /home/wwwroot/paper/;
    autoindex on;
    }
    }

注意 这里/home/wwwroot/paper/;  有个/
当浏览http://jb200.com/paper/,正常情况应该遍历/home/wwwroot/paper/这个目录,但如果访问http://jb200.com/paper../则会遍历/home/wwwroot/这个目录。

安全建议:
使用如下配置
 

复制代码 代码示例:
location /paper {
    alias /home/wwwroot/paper;

location /paper/ {
    alias /home/wwwroot/paper/;