Nginx服务扫描漏洞修复

一、扫描结果

二、解决方案

1.Content-Security-Policy头缺失或不安全 

1.1作用

简称CSP，意为内容安全策略，通过设置约束指定可信的内容来源，降低异源文件攻击，例如：js/css/image等
个人不建议配置，一是安全威胁较低，而是需要熟悉每一个站点资源引用情况，并且后续资源引用发生变化会导致错误

1.2 相关设置值

指令名	demo	说明
default-src	'self' cdn.example.com	默认策略,可以应用于js文件/图片/css/ajax请求等所有访问
script-src	'self' js.example.com	定义js文件的过滤策略
style-src	'self' css.example.com	定义css文件的过滤策略
img-src	'self' img.example.com	定义图片文件的过滤策略
connect-src	'self'	定义请求连接文件的过滤策略
font-src	font.example.com	定义字体文件的过滤策略
object-src	'self'	定义页面插件的过滤策略,如 <object>, <embed> 或者<applet>等元素
media-src	media.example.com	定义媒体的过滤策略,如 HTML6的 <audio>, <video>等元素
frame-src	'self'	定义加载子frmae的策略
sandbox	allow-forms allow-scripts	沙盒模式,会阻止页面弹窗/js执行等,你可以通过添加allow-forms allow-same-origin allow-scripts allow-popups, allow-modals, allow-orientation-lock, allow-pointer-lock, allow-presentation, allow-popups-to-escape-sandbox, and allow-top-navigation 策略来放开相应的操作
report-uri	/some-report-uri

1.3 示例

default-src 'self';只允许同源下的资源
script-src 'self';只允许同源下的js
script-src 'self' www.google-analytics.com ajax.googleapis.com;允许同源以及两个地址下的js加载
default-src 'none'; script-src 'self'; connect-src 'self'; img-src 'self'; style-src 'self';多个资源时,后面的会覆盖前面的

nginx配置文件中添加如下：
add_header Content-Security-Policy "default-src 'self'";只允许同源下的资源
add_header Content-Security-Policy "upgrade-insecure-requests;content *";将本站内部http链接自动改为https，并不限制内容加载来源。

2. X-Content-Type-Options 头缺失或不安全

2.1 作用

防止在IE9、chrome和safari中的MIME类型混淆攻击。firefox目前对此还存在争议。通常浏览器可以通过嗅探内容本身的方法来决定它是什么类型，而不是看响应中的content-type值。

如通过精心制作一个图像文件，并在其中嵌入可以被浏览器所展示和执行的 HTML 和 JavaScript 代码。由于未关闭资源的类型猜测，浏览器将直接执行嵌入的 JavaScript 代码，而不是显示图片。

通过设置 X-Content-Type-Options：如果content-type和期望的类型匹配，则不需要嗅探，只能从外部加载确定类型的资源

2.2 Nginx配置

# 这个响应头的值只能是 nosniff
add_header X-Content-Type-Options nosniff;

3.X-XSS-Protection头缺失或不安全

3.1 作用

用于防范及过滤 XSS，现在大部分浏览器都默认开启里XSS保护

3.2 配置项

0：禁用XSS保护；
1：启用XSS保护；
1; mode=block：启用XSS保护，并在检查到XSS攻击时，停止渲染页面（例如IE8中，检查到攻击时，整个页面会被一个#替换）；

3.3 Nginx配置

add_header X-XSS-Protection "1; mode=block"; 

4.Strict-Transport-Security头缺失或不安全

4.1 作用

Strict Transport Security (STS) 是用来配置浏览器和服务器之间安全的通信。它主要是用来防止中间人攻击，因为它强制所有的通信都走TLS。目前IE还不支持 STS头。
需要注意的是，在普通的http请求中配置STS是没有作用的，因为攻击者很容易就能更改这些值。为了防止这样的现象发生，很多浏览器内置了一 个配置了STS的站点list。

4.2 配置项

max-age是必选参数，是一个以秒为单位的数值，它代表着HSTS Header的过期时间，通常设置为1年，即31536000秒。
includeSubDomains是可选参数，如果包含它，则意味着当前域名及其子域名均开启HSTS保护。
preload是可选参数，一个浏览器内置的使用HTTPS的域名列表。

4.3 Nginx配置

add_header Strict-Transport-Security "max-age=63072000; includeSubdomains; preload";

5.检测到 SHA-1 密码套件

 

5.1Nginx配置

ssl_ciphers ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:!NULL:!aNULL:!MD5:!ADH:!RC4:!DH:!DHE:!SHA-1;
ssl_prefer_server_ciphers on;

5.2 ingress配置

# 添加注解
nginx.ingress.kubernetes.io/ssl-ciphers
"ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES26-SHA384:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:!NULL:!aNULL:!MD5:!ADH:!RC4:!DH:!DHE:!SHA-1"

https://help.aliyun.com/document_detail/198572.html

https://www.oschina.net/translate/strong_ssl_security_on_nginx?print

https://github.com/y1ng1996/owasp-testing-guide-v4-gitbook/blob/master/zh/web_application_security_testing/testing_for_weak_ssltls_ciphers,_insufficient_transport_layer_protection_otg-crypst-001.md

https://kubernetes.github.io/ingress-nginx/user-guide/nginx-configuration/annotations/#ssl-ciphers

6.支持旧 TLS 版本

6.1 阿里云SLB配置

修改443端口TLS策略

6.2Nginx配置

ssl_protocols TLSv1.2 TLSv1.3;

7.跨帧脚本编制防御缺失或不安全 

7.1作用

X-Frame-Options 该响应头用于是否允许浏览器加载 frame、 iframe、 object 等属性。可以使用该功能来避免 点击劫持

7.2配置项

X-Frame-Options: DENY
X-Frame-Options: SAMEORIGIN
X-Frame-Options: ALLOW-FROM https://example.com/
X-Frame-Options: ALLOWALL

当设置为 DENY 时，站点禁止任何页面被嵌入。
当设置为 SAMEORIGIN 时，只允许加载同源的 fram/iframe/object。
当设置为 ALLOW-FROM 时，只允许加载指定的源
当设置为 ALLOWALL 时表示允许全部来源域名

7.3Nginx配置

add_header X-Frame-Options SAMEORIGIN always;