NGINX 漏洞修复

2024-07-19 by

企业等保

为满足等保要求，最近单位开始启用绿盟安全评估系统 RSAS，由站长负责的公司网站被扫出来一堆安全隐患，只能花点时间解决一番

站长负责的公司网站因为时间紧、任务重，加班加点开发完系统，马不停蹄就直接采用 Nginx 作为服务器，以默认配置上线 WEB 系统，根据上级下发的安全评估报告，只需要修改 nginx.conf 增加安全性设置即可：

 # 隐藏 NGINX 版本号;
 server_tokens off;
    
# ------------------ 修复绿盟 RSAS 扫描漏洞 ------------------begin
  
# 修复 SSL/TLS 存在Bar Mitzvah Attack 漏洞
ssl_protocols TLSv1.2 TLSv1.3;

# 修复 检测到会话cookie中缺少HttpOnly属性(禁止跨站脚本)
add_header Set-Cookie "Path=/; HttpOnly; Secure"; 

# 修复 检测到目标X-Content-Type-Options响应头缺失;
add_header X-Content-Type-Options "nosniff";

# 修复 检测到目标Content-Security-Policy响应头缺失;
add_header Content-Security-Policy "script-src 'self' 'unsafe-inline' 'unsafe-eval'" always;

# 修复 检测到目标X-XSS-Protection响应头缺失
add_header X-XSS-Protection "1";
add_header X-Xss-header  "1;mode=block";

# 修复 检测到目标Strict-Transport-Security响应头缺失
add_header Strict-Transport-Security "max-age=63072000; includeSubdomains; preload";

# 修复 检测到目标Referrer-Policy响应头缺失
add_header Referrer-Policy "no-referrer-when-downgrade" always;

# 修复 检测到目标X-Download-Options响应头缺失
add_header X-Download-Options "noopen" always;

# 修复 点击劫持：X-Frame-Options未配置
add_header X-Frame-Options SAMEORIGIN;

# 修复 检测到目标X-Permitted-Cross-Domain-Policies响应头缺失
add_header X-Permitted-Cross-Domain-Policies none;

# ------------------ 修复绿盟 RSAS 扫描漏洞 ------------------end

之后重启 Nginx 服务即可，但站长没有权限调用上级部门的 RSAS 系统来验证，倒也简单，注册华为的漏洞管理服务 CodeArts Inspector 新用户每天可免费扫描5次，比绿盟好用多了。

重启前扫描一遍生成报告，提示26项漏洞得分 70

以新配置重启 Nginx 服务后再次扫描剩下4个漏洞，得分94

剩下的内容是第三方连接与未使用 HTTPS 连接，都是小问题，要想单位掏钱买证书不知得开多少回，打多少申请。即便是免费的证书也得找负责管理域名的部门协调，跨部门沟通一次特别费劲，做个域名解析内部跑一两周都未必能办下来，吃力不讨好。

总而言之，问题解决