Nginx 配置错误导致漏洞

CRLF注入漏洞

CRLF

CRLF是”回车 + 换行”（\r\n）的简称，即我们都知道在HTTP协议中，HTTP Header与HTTP Body是用两个CRLF分隔的，浏览器就是根据这两个CRLF来提取HTTP 内容
一旦我们能够控制http头，通过注入一些CRLF这样就可以控制header和body的分割线，这样我们就可以向body或是header中注入些东西了。所以CRLF Injection又叫HTTP Response Splitting，简称HRS。

产生原因

location / { return 302 https://$host$uri; }

错误的配置文件示例（原本的目的是为了让http的请求跳转到https上）
Nginx会将$uri进行解码，导致传入%0a%0d即可引入换行符，造成CRLF注入漏洞。

利用

构造了固定会话漏洞，也可尝试xss

目录穿越漏洞

产生原因

错误的配置文件示例（原本的目的是为了让用户访问到/home/目录下的文件）：

location /files {
    alias /home/;
}

Nginx在配置别名（Alias）的时候，如果忘记加/，将造成一个目录穿越漏洞。

漏洞展示

访问到了根目录

add_header被覆盖

产生原因

Nginx配置文件子块（server、location、if）中的add_header，将会覆盖父块中的add_header添加的HTTP头，造成一些安全隐患。
如下列代码，整站（父块中）添加了CSP头：

add_header Content-Security-Policy "default-src 'self'";
add_header X-Frame-Options DENY;

location = /test1 {
    rewrite ^(.*)$ /xss.html break;
}

location = /test2 {
    add_header X-Content-Type-Options nosniff;
    rewrite ^(.*)$ /xss.html break;
}

但/test2的location中又添加了X-Content-Type-Options头，导致父块中的add_header全部失效：

漏洞验证