0x01 现状和需求

0x02 存在问题

0x03 Nginx不限制大小写解决办法

0x01 现状和需求

1.1 现状：

现有一个网站，该网站是基于IIS部署的，本身URL目录是不区分大小写的；前端有一个Nginx代理服务器根据域名做流量转发。

1.2 需求：

现在发现网站上有一个config.xml的文件，该文件包含数据服务器的ip地址、用户名和密码，且未实现密文加密，导致很容易被外网用户扫描到。

存在较大的安全隐患，如何通过nginx和iis设置，实现禁止用户访问该文件？

0x02 存在的问题

2.1 简单的方法是，在nginx上面设置通过config.xml匹配后，重定向：

location /config.xml {

return 403;

}

2.2 问题：

但是，该方法有一个问题漏洞：由于后端iis不区分大小写，所以该方法只能拦截/config.xml的访问；但是无法对/Config.xml、/CONFIG.xml等大小写变化的进行拦截。

0x03 Nginx不限制大小写解决办法

可以使用不区分大小写的正则表达式,使用~*运算符或使用一系列字符类：

location ~* ^/config.xml {

return 403;

}

上述正则表达式能匹配 URI 的开头,因此包含子路径的 URI 也会匹配。