一、漏洞原理

Nginx上在处理带有%0a字符串的请求时,会因为遇到换行符\n导致逻辑缺陷,进而导致漏洞可被利用。

二、影响范围

在服务器中,存在以下特定的配置,即可触发远程命令执行漏洞:

三、规避方案

在不影响业务的情况下,删掉 Nginx配置文件中的如下配置:

四、便捷防护方案

华为云web应用防火墙提供了对该漏洞的便捷防护,不修改配置文件也无妨,步骤如下:

1、选择要防护的服务器,开启waf;

2、登录waf控制台,在“防护配置”中把“web基础防护”状态设置为打开、模式选择为拦截,如下图:

3、点开2的“高级设置”,把“常规检测”状态打开,如下图:

      WAF,是华为云推出的对网站应用进行多维度检测和防护的安全服务,拦截诸如SQL注入等常见攻击,结合深度机器学习,智能识别恶意请求,防御未知威胁,保障网站业务和数据安全。成功防护了华为商城等大型网站,为历次华为手机大促提供高并发下的安全防护。

五、选择华为云,就选择了安全可靠

每次严重安全事件爆发,华为云都会第一时间站在用户身边,提供最新的防护手段。在使用华为云的过程中,遇到任何安全问题,都可随时联系我们:4000-955-988按1转1或者950808按1转1。

免责声明：本网站（http://www.ciotimes.com/）内容主要来自原创、合作媒体供稿和第三方投稿，凡在本网站出现的信息，均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性，但不保证有关资料的准确性及可靠性，读者在使用前请进一步核实，并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏，概不负任何法律责任。
本网站刊载的所有内容（包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等）版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时，请及时通知本站，予以删除。