常见的linux提权内核提权查看发行版 cat /etc/issue
cat /etc/*-release 查看内核版本 uname -a 查看已经安装的程序 dpkg -l
rpm -qa 通过一些现有的exp,上传到目标主机,执行exp,直接获取root权限明文root密码权限大多数linux系统的密码都和/etc/passwd和/etc/shadow这两个配置文件息息相关。pas
背景最近公司安全组给我们提了一个安全问题,说我们的静态资源图片没有做权限限制,拿到URL谁都可以访问,我们的静态资源都是由Nginx这个服务器直接做的映射,只有拿到对的URL确实可以随便访问,无奈,网上百度了下,问了下同事,那就做token验证吧,在有效期内验证通过才可以访问。 要做token验证,Nginx首先需要支持lua这个脚本语言。Lua是一个嵌入式脚本语言,Lua由标准C编写而成,代码简
转载
2024-02-27 09:58:47
481阅读
点赞
nginx-http-flv-module使用鉴权完整版nginx-http-flv-module基于nginx实现的FLV直播模块。本文介绍怎么使用该模块进行直播和鉴权。简要说明:直播模块分为两块——推流和拉流。 nginx-http-flv-module就是开创直播间并处理这里流数据用的。一、安装前提是你得先安装好nginx,这里对nginx的安装不做概述。1.下载地址: https://gi
转载
2024-03-12 19:43:53
157阅读
前言今天遇到一个有趣的小需求:通过URL访问并下载服务器上某个文件夹的文件,因此查找了资料进行了 Nginx 文件下载的配置,又因为不想完全对外开放,所以就加上了鉴权功能。这篇文章来记录一下相关配置步骤。参考目录
Nginx 官方文档 - Module ngx_http_autoindex_module 列出相关文件夹下的文件。
Nginx 官方文档 - Module ngx_http_auth_
转载
2024-02-29 14:17:17
170阅读
背景鉴权的功能是防止盗链,别人一直访问你的连接,把你的服务器打爆,当鉴权失败时(md5值计算错误、时间戳过期),nginx直接返回403。
鉴权主要分为四种:时间戳鉴权远程鉴权Referer黑白名单IP黑白名单在使用上,一般推荐时间戳鉴权和远程鉴权,或者两者同时使用,剩下两项规避鉴权非常容易。时间戳鉴权介绍(LSS的方式)为确保视资源被非法获取,提供token认证和有效期限相结合的播放地址。开启时
转载
2024-01-12 11:52:02
222阅读
在进行WEB开发时, 必然会遇到向用户返回文件的场景(如图片, 文档等等), 当返回的文件较小时, 我们可以直接通过接口以数据流的形式向前台返回, 因为文件较小, 因此也不会太过于影响响应速度及服务器性能, 但是当文件较大时, 再使用接口中返回数据流的方式就显得极其不合适了. 此时, 就需要通过 nginx 读取文件资源向用户进行返回. 但是, 如果当用户进行文件请求时, 我们需要对用户进行身份
转载
2023-07-16 21:11:16
358阅读
一、nginx的鉴权功能是什么?nginx 想做简单一个的用户过滤,但是并不想去对每个不同的用户群体进行单独配置,那么就可以设置一道防线,在nginx外面设置一个用户账号和密码,做一个简单的用户权限鉴别的功能,所有用户使用同一个鉴权的账号密码,做一个简单的安全过滤。二、nginx 鉴权安装操作流程1.首先数组机服务器里面需要安装httpd-tools 服务,如果是用docker容器安装的nginx
转载
2024-03-05 06:57:01
119阅读
一)需求背景现在app客户端请求后台服务是非常常用的请求方式,在我们写开放api接口时如何保证数据的安全,我们先看看有哪些安全性的问题请求来源(身份)是否合法?请求参数被篡改?请求的唯一性(不可复制)二)为了保证数据在通信时的安全性,我们可以采用参数签名的方式来进行相关验证案例:我们通过给某 [移动端(app)] 写 [后台接口(api)] 的案例进行分析: &
转载
2024-06-10 01:23:02
266阅读
目录Nginx漏洞复现①CVE-2013-4547(文件名逻辑漏洞)复现②Nginx解析漏洞nginx_parsing_vulnerability复现 Nginx漏洞复现Nginx与Apache一样,自身是不支持解析PHP语言的,只能通过加载PHP模块来解析PHP。 大致流程如下: 用户访问域名->域名进行DNS解析->请求到对应IP服务器和端口->nginx监听到对应端口的请
转载
2024-08-27 11:25:38
71阅读
nginx 涉及到两个账户,一个是 nginx 的运行账户,一个是 php-fpm 的运行账户。如果访问的是一个静态文件,则只需要 nginx 的运行账户对文件具有读取权限;而如果访问的是一个 php 文件,则首先需要 nginx 的运行账户对文件有读取权限,读取到文件后发现是一个php 文件,则转发给 php-fpm,此时则需要 php-fpm 账户对文件具有读取权限。一。研究发现的结论1. l
转载
2024-07-24 06:48:23
66阅读
Nginx的使用者最近越来越多,很多大型网站也都从Apache或其他平台迁移到了Nginx。但在我使用Nginx的过程中有个问题一直未得到解决,就是如何限制Nginx+PHP的目录权限我们知道,在Apache中可以很容易的对虚拟目录进行权限控制,如:ServerAdmin xiaopb@live.com
DocumentRoot /usr/www/xpb/
ServerName www.xpb.c
目录ASP.NET Core Ocelot+Consul+Nginx+JWT 构建微服务鉴权中心鉴权中心 Common.AuthenticationCenterControllers文件AuthenticationController.csUtility 文件夹Model 文件夹User.csRSA 文件夹RSAHelper.csConfigInformation.csHttpHelperServ
nginx 配置 location /live { auth_request /auth; proxy_pass http://live_address; } # authentication URL location = /auth { proxy_pass http://back_serv...
原创
2022-09-08 09:44:42
570阅读
目标掌握微服务网关Gateway的系统搭建掌握网关限流的实现能够使用BCrypt实现对密码的加密与验证了解加密算法能够使用JWT实现微服务鉴权1.微服务网关Gateway1.1 微服务网关概述不同的微服务一般会有不同的网络地址,而外部客户端可能需要调用多个服务的接口才能完成一个业务需求,如果让客户端直接与各个微服务通信,会有以下的问题:客户端会多次请求不同的微服务,增加了客户端的复杂性存在跨域请求
这是一个可以让nginx的请求具备认证功能的模块。它可以做很多极具创造力的功能,这可能是我最推荐的一个模块。现在它已经是nginx内置的模块,只是默认是未开启的。曾经它也是第三方模块,其作者现在是nginx源码维护者之一。有着如此渊源和优秀使其被nginx收录,自然是情理之中。 在我们经历过的项目中,用户登陆认证是个非常常见的功能点。我们可能有很多的子项目,这些子项目有着共同的功能, 那
转载
2024-03-28 12:58:00
90阅读
大废:这才差不多,讲了这么多早就应该给我奶茶了,吧唧吧唧。。大废:那今天就来讲讲Nginx是如何实现负载均衡吧。二废:这个我知道,我看过Nginx的配置,nginx通过upstream下的配置,对配置的服务器进行负载均衡,具体配置如下*。http {
listen 80;
server_name localhost;
upstream webservers {
ip_
一个网站用户对动态的评论、置顶等等操作,服务器都需要对客户端验证是否有用户登录,如果无用户登录则提示用户跳转到登录页面进行登录。 但是HTTP协议是无状态,一次请求对应一个响应,后续的系统操作,需要重新请求服务器。也就是说服务器无法识别客户端请求属于哪个用
介绍 早期的SSLv2根据经典的公钥基础设施PKI(Public Key Infrastructure)设计,默认一台服务器(或者说一个IP)只会提供一个服务,所以在SSL握手时,服务器端可以确信客户端申请的是哪张证书。 但是让人万万没有想到的是,虚拟主机大力发展起来了,这就造成了一个IP会对应多个域名的情况。解决办法有一些,例如申请泛域名证书,
转载
2024-10-11 19:08:46
104阅读
线上环境下部署静态文件将静态文件部署到线上环境的基本步骤很简单:当静态文件改变时,运行collectstatic 命令收集静态文件,然后将该目录(STATIC_ROOT) 搬到静态文件服务器上。根据STATICFILES_STORAGE的设置,这些文件可能需要手工移动到一个新的位置,或者使用Storage 类的post_process 方法完成该任务。当然,与所有的部
nginx 由于其高效的并发处理能力,而开始被越来越多的人接受和认可,现在很多网站已经完全用nginx代替apache来处理静态 页面,但是动态页面的处方面,apache还是有着自己独到之处的。下面说下何为反向代理,以及为何进行反向代理。按照百科的介绍:反向代理(Reverse Proxy)方式是指以代理服务器来接受internet上的连接请求,然后将请求转发给内部网络上的服务器,并将从服务器上得
