Bỏ qua bất kỳ và tất cả các tham số url để tăng cường bảo mật. Thế nào?

suchislife

13:42, 28/12/2022

Bất cứ ai đặt một máy chủ NGINX trực tuyến và nhìn vào nó truy cập.log một tuần sau sẽ thấy rất nhiều nỗ lực khai thác URL đang được thực hiện. Mỗi ngày, bất cứ lúc nào.

Vậy điều gì sẽ xảy ra nếu tôi từ chối bất kỳ và tất cả các tham số url. Điều gì sẽ xảy ra nếu mọi chuỗi truy vấn được che bằng NGINX viết lại sẽ không khớp với bất kỳ thứ gì không được định nghĩa là viết lại tự nhiên trả về 404 Không tìm thấy?

Hoặc một loạt các viết lại theo thứ tự được đặt bên trong khối vị trí luôn hiện diện này?

địa điểm / {
  viết lại "^/api/v1/users/?$" /api/v1/Users.php cuối cùng;
  viết lại "^/api/v1/users/(all|active|inactive)?$" /api/v1/Users.php?status=$1 last;
  viết lại "^/api/v1/users/(\d+)/?$" /api/v1/Users.php?userId=$1 cuối cùng;
}

# Ví dụ về Kết hợp URL...

http://localhost/api/v1/users
http://localhost/api/v1/users/

http://localhost/api/v1/users/all
http://localhost/api/v1/users/active
http://localhost/api/v1/users/inactive

http://localhost/api/v1/users/2001
http://localhost/api/v1/users/2002
http://localhost/api/v1/users/2003

Có cách nào để hướng NGINX bỏ qua các tham số URL không? Vui lòng cho tôi biết nếu đây là một câu hỏi ngây thơ. Có lẽ tôi đang hỏi sai câu hỏi.

1 + 0

Điểm:1

Server

digijay

14:55, 28/12/2022

thay vì sử dụng trở lại thay vì viết lại bởi vì "Chỉ thị viết lại chỉ có thể trả về mã 301 hoặc 302". Đối với điều này, tạo một địa điểm với một biểu thức chính quy để nắm bắt uri yêu cầu cụ thể.

Và nếu bạn chỉ muốn bỏ tất cả các yêu cầu này, hãy trả lại một trạng thái http 444.

Ví dụ:

người phục vụ {
    #...
    vị trí ~* ^/api/v1/users/.*$ {
        trả lại 444;
    }
}

0 + 4

suchislife

15:11, 28/12/2022

Bạn có thể thêm một vị trí ví dụ truyền tham số như trong các ví dụ `viết lại` của tôi không? Tôi chỉ không bao giờ có thể chuyển đổi nó.

Hồi đáp

digijay

15:21, 28/12/2022

Cụm từ thông dụng này phải khớp với tất cả các ví dụ của bạn hoặc tôi đã bỏ lỡ điều gì đó?

Hồi đáp

suchislife

15:24, 28/12/2022

Ừ. Bạn đã cung cấp một ví dụ chặn. Tôi cần xem một ví dụ phục vụ cùng tồn tại với ví dụ của bạn. Các viết lại khác biến thành các khối vị trí.

Hồi đáp

digijay

16:35, 28/12/2022

Tôi nghĩ rằng khi bạn muốn gán lại các tham chiếu cho các tham số khác nhau trong một lần chuyển hướng thì "hàng loạt lần viết lại" là cách khả thi duy nhất. Tôi vẫn không chắc liệu tôi có hiểu chính xác những gì bạn đang cố gắng đạt được hay không, xin lỗi.

Hồi đáp

Phan Văn Trường

Câu hỏi này là trong các ngôn ngữ khác:

EN: Ingnoring any and all url parameters to harden security. How?

TH: ละเว้นพารามิเตอร์ URL ใด ๆ และทั้งหมดเพื่อเพิ่มความปลอดภัย ยังไง?

RO: Ignorarea tuturor parametrilor URL pentru a consolida securitatea. Cum?

RU: Игнорирование любых и всех параметров URL для усиления безопасности. Как?

VI: Bỏ qua bất kỳ và tất cả các tham số url để tăng cường bảo mật. Thế nào?

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.