您好,欢迎访问全国教育考试教材网
商品分类

502 Bad Gateway 502 Bad Gateway nginx

现在,随着企业信息化建设的开展,越来越多的重要数据会以电子媒介的形式存放,这在方便企业办公的同时,也造成了极大的安全隐患。近年来,随着APT攻击的蔓延,使得越来越多的企业遭受不可挽回的重大损失。

在目的明确、装备精良、经验丰富的”雇佣军”式的攻击者面前,传统的安全设备已显得力不从心,企业需要做的是定期开展专业的渗透测试,来降低风险,加固安全。

那么,什么是渗透测试?

渗透测试,是渗透测试工程师完全模拟黑客可能使用的攻击技术和漏洞发现技术,对目标网络、主机、应用的安全作深入的探测,发现系统最脆弱的环节。

如果说安全检测是”横向地毯式自动化扫描”,那么渗透测试就是”纵向深度人工化入侵”。

可见渗透测试的目的是发现目标系统潜在的业务漏洞风险。

安全问题都体现在输入输出的问题上,能够分析数据流就有迹可循了。先知道渗透测试的流程,用工具找到漏洞,了解并且复现它。

如何进行Web渗透测试?

1、 完整web渗透测试框架

当需要测试的web应用数以千计,就有必要建立一套完整的安全测试框架,流程的最高目标是要保证交付给客户的安全测试服务质量。

立项:项目建立,时间安排,人力分配,目标制定,厂商接口人确定;

系统分析&威胁分析:针对具体的web应用,分析系统架构、使用的组件、对外提供的接口等,以STRIDE为威胁模型进行对应的安全威胁分析,输出安全威胁分析表,重点关注top3威胁;

制定测试用例:根据威胁分析的结果制定对应的测试用例,测试用例按照模板输出,具备可执行性;

测试执行&漏洞挖掘:测试用例执行&发散测试,挖掘对应的安全问题or漏洞;

问题修复&回归测试:指导客户应用开发方修复安全问题or漏洞,并进行回归测试,确保安全问题or漏洞得到修复,并且没有引入新的安全问题;

项目总结评审:项目过程总结,输出文档评审,相关文档归档。

2、Web应用的渗透测试流程

主要分为3个阶段,分别是:信息收集→漏洞发现→漏洞利用,下面仔细分析一下各个阶段流程:

1、 信息收集

在信息收集阶段,我们需要尽量多的收集关于目标web应用的各种信息,比如:脚本语言的类型、服务器的类型、目录的结构、使用的开源软件、数据库类型、所有链接页面,用到的框架等

脚本语言的类型:常见的脚本语言的类型包括:php、asp、aspx、jsp等

测试方法:

1 爬取网站所有链接,查看后缀

2 直接访问一个不存在页面后面加不同的后缀测试

3 查看robots.txt,查看后缀

<img src="https://www.exambook.cn/wp-content/uploads/2024/00/B22.jpg" alt="
502 Bad Gateway

502 Bad Gateway


nginx







” />

服务器的类型:常见的web服务器包括:apache、tomcat、IIS、ngnix等

测试方法:

1 查看header,判断服务器类型

2 根据报错信息判断

3 根据默认页面判断

测试方法

1 使用字典枚举目录

2 使用爬虫爬取整个网站,或者使用google等搜索引擎获取

3 查看robots.txt是否泄漏

使用的开源软件:我们如果知道了目标使用的开源软件,我们可以查找相关的软件的漏洞直接对网站进行测试。

测试方法

指纹识别(网络上有很多开源的指纹识别工具)

数据库类型:对于不同的数据库有不同的测试方法。

测试方法

1 使应用程序报错,查看报错信息

2 扫描服务器的数据库端口(没做NAT且防火墙不过滤时有效)

所有链接页面:这个跟前面的获取目录结构类似,但是这个不只是获取网站的所有功能页面,有时候还可以获取到管理员备份的源码。

测试方法

1 使用字典枚举页面

2 使用爬虫爬取整个网站,或者使用google等搜索引擎获取

3 查看robots.txt是否泄漏

用到的框架:很多网站都利用开源的框架来快速开发网站,所以收集网站的框架信息也是非常关键的。

测试方法

指纹识别(网络上有很多开源的指纹识别工具)

二、漏洞发现

在这个阶段我们在做测试的时候要对症下药,不能盲目的去扫描,首先要确定目标应用是否使用的是公开的开源软件,开源框架等、然后在做深一度的漏洞扫描。

关于开源软件的漏洞发现

<img src="https://www.exambook.cn/wp-content/uploads/2024/00/B195.jpg" alt="
502 Bad Gateway

502 Bad Gateway


nginx







” />

开源的软件:常见的开源软件有wordpress、phpbb、dedecms等

开源的框架:常见的开源框架有Struts2、 Spring MVC、ThinkPHP等

中间件服务器:常见的中间件服务器有jboss、tomcat、Weblogic等

数据库服务:常见的数据库服务mssql、mysql、oracle、redis、sybase、MongoDB、DB2等

对于开源软件的测试方法

1 通过指纹识别软件判断开源软件的版本信息,针对不同的版本信息去开放的漏洞数据库查找相应版本的漏洞进行测试

2 对于默认的后台登录页、数据库服务端口认证等入口可以进行简单的暴力破解、默认口令尝试等操作

3 使用开源的漏洞发现工具对其进行漏洞扫描,如:WPScan

关于自主开发的应用

手动测试:这个阶段,我们需要手工测试所有与用户交互的功能,比如:留言、登入、下单、退出、退货、付款等操作

软件扫描:使用免费的软件扫描,如:appscan、wvs、netsparker,burp等

可能存在的漏洞

Owasp关键点

代码安全之上传文件

代码安全之文件包含

代码安全之SSRF

逻辑漏洞之密码重置

逻辑漏洞之支付漏洞

逻辑漏洞之越权访问

平台安全之中间件安全

三、漏洞利用

针对不同的弱点有不同的漏洞利用方式,需要的知识点也比较多。一般这个阶段包括两种方式,一种是手工测试,一种是工具测试

手工测试

手工测试是通过客户端或服务器访问目标服务,手工向目标程序发送特殊的数据,包括有效的和无效的输入,观察目标的状态、对各种输入的反应,根据结果来发现问题的漏洞检测技术。手工测试不需要额外的辅助工具,可由测试者独立完成,实现起来比较简单。但这种方法高度依赖于测试者,需要测试者对目标比较了解。手工测试可用于Web应用程序、浏览器及其他需要用户交互的程序。

这种方式对于有特殊过滤等操作,或者网络上没有成型的利用工具的时候可以使用。

工具测试

用户评论


安好如初

哎呀,这502 Bad Gateway真是让人头疼,我刚想好好浏览一下nginx的文章呢,结果就遇到了这个错误。

    有5位网友表示赞同!


她的风骚姿势我学不来

nginx的文章看了个开头就出了这个502 Bad Gateway,真是让人心情糟糕。

    有12位网友表示赞同!


发型不乱一切好办

502 Bad Gateway,这故障码也太常见了吧,每次遇到都让人心烦。

    有9位网友表示赞同!


盲从于你

刚刚想详细了解nginx,结果页面就显示502 Bad Gateway,这让我对nginx的兴趣大减。

    有14位网友表示赞同!


留我一人

502 Bad Gateway,这问题是不是和我的网络有关?不过我试试重启浏览器再说。

    有15位网友表示赞同!


白恍

这502 Bad Gateway简直是个拦路虎,好不容易找到的nginx文章都不能看,太遗憾了。

    有13位网友表示赞同!


若他只爱我。

502 Bad Gateway,这问题有没有什么解决方法?希望有高人指点一二。

    有5位网友表示赞同!


念旧情i

nginx的文章看了个开头就遇到了502 Bad Gateway,真是让人沮丧。

    有17位网友表示赞同!


裸睡の鱼

502 Bad Gateway,这故障码也太让人头疼了,希望可以快速解决。

    有5位网友表示赞同!


ゞ香草可樂ゞ草莓布丁

刚刚想研究一下nginx,没想到遇到了这个502 Bad Gateway,真是遗憾。

    有13位网友表示赞同!


莫飞霜

502 Bad Gateway,这问题我已经遇到过好几次了,每次都让人心情不爽。

    有10位网友表示赞同!


拉扯

这502 Bad Gateway真是让人抓狂,我已经尝试了很多方法,还是无法解决。

    有18位网友表示赞同!


冷落了♂自己·

502 Bad Gateway,这问题到底要怎么解决啊?有没有人能帮帮忙?

    有10位网友表示赞同!


太易動情也是罪名

502 Bad Gateway,这故障码让我对nginx的好奇心大减,真是让人失望。

    有9位网友表示赞同!


Edinburgh°南空

502 Bad Gateway,我怀疑是我的网络问题导致的,我要检查一下网络设置。

    有18位网友表示赞同!


灵魂摆渡人

502 Bad Gateway,这问题我已经困扰好久了,希望可以找到解决办法。

    有14位网友表示赞同!


北朽暖栀

502 Bad Gateway,这故障码让我对nginx产生了怀疑,不知道它是不是真的那么好。

    有16位网友表示赞同!


鹿先森,教魔方

502 Bad Gateway,我已经尝试了很多方法,但都无法解决,真希望有人能伸出援手。

    有7位网友表示赞同!


空巷

502 Bad Gateway,这问题让我对nginx的兴趣大减,真希望可以快速解决。

    有7位网友表示赞同!


浮殇年华

502 Bad Gateway,我已经快被这个问题逼疯了,希望可以找到解决方法,重拾对nginx的热情。

    有13位网友表示赞同!