文章总结: 本文介绍两款安全运营实用工具:NginxUrlScan可自动检测Nginx配置文件中的未授权路径和冗余端口,帮助发现违规反代风险;AiLPHATool能自动从态势感知平台抓取数据并生成安全月报图表,提升运营效率。工具均提供详细配置说明和开源地址,适用于日常安全检查和报告生成场景。 综合评分: 85 文章分类: 安全运营,安全工具,WEB安全,应用安全,解决方案
【安全运营】Nginx违规反代检测和月报绘图工具
原创
青烟 青烟
青烟学安全
2026年5月13日 14:14 江西
在小说阅读器读本章
去阅读
一、前言
作为安全运营人员,最烦的就是那种明明挺基础的工作,结果还得手动一遍遍弄,费时间不说,一不留神还容易漏掉风险点。比如Nginx反代配置的隐蔽漏洞、安全月报的数据汇总,结合自身日常运营场景,我做了两个轻量小工具便于提效。
二、NginxUrlScan
(一)适配工作场景
Nginx违规反代路径排查。
做过公网系统运维的朋友都懂,Nginx反代配置的人工失误,很容易造成暴露面扩大,埋下安全隐患,而这些隐患靠人工排查,不仅耗时还容易遗漏。常见的两种问题的尤为突出:
- 路径遗漏:开发人员仅申请开放80端口下的/index路径,但Nginx配置文件中,未删除/admin、/api/等未授权接口,容易被利用;
- 端口冗余:对外仅报备80端口,但配置文件中仍保留8443等未使用端口的开放配置,扩大了攻击面。
这个工具可以帮你自动读取Nginx配置文件,批量检测未授权路径、冗余开放端口,形成表格,再将电脑的网络切换为自己手机热点网络,配合目录扫描工具或者浏览器 URL 批量打开工具,探测违规反代。
(二)工具地址
Github:https://github.com/AzureHaze8/NginxUrlScan
(三)使用说明
- Nginx配置文件 (.conf)
命名规范: XX系统-内网IP-年月日.conf,例如:业务系统-10.10.10.1-20251127.conf
- 配置 IP 映射
对外映射列在前,填写公网IP地址;内网服务池列在后,填写对应的内网IP地址,一个公网地址可以对应多个内网IP。
- 命令运行
CMD运行
NginxUrlScan.exe -dir .\conf\ -load template.csv -out results.csv
Go语言运行
go run nginx_url_scan.go -dir .\conf\ -load template.csv -out results.csv
4、再将电脑的网络切换为自己手机热点,网络浏览器插件批量打开 URL
当一些没报备对外开放的URL有反应了,也就是违规代理了。(我这里用的是火狐浏览器插件:Open Multiple URLs 打开)
三、AiLPHATool
(一)适配工作场景
安全月报整体攻击态势数据分析。
每月出安全月报,需要从态势感知平台中手动采集月度数据、每周数据、近六个月数据汇总图,还要整理数据量表格,再进行攻击态势分析,整个过程繁琐且耗时,还容易出现数据统计错误。
这个工具可以帮助你抓取月度数据、每周数据、近六个月趋势数据,自动生成趋势图、数据量表格,无需手动用Excel绘制,节省排版时间。
(二)工具地址
Github:https://github.com/AzureHaze8/AiLPHA-ChartTool
(三)使用说明
- 安装依赖
pip install -r requirements.txt
- 配置 config.yaml 文件
Cookie: "das-auth=xxx" # API访问凭证,从浏览器开发者工具获取
host: "10.200.226.249" # 目标服务器IP地址
report:
report_year: 2026 # 报告年份(备用)
lookback_months: 6 # 回溯月份数(用于近六个月统计)
output_root: . # 输出根目录(. 表示当前目录)
output_folder: XX集团攻击数据统计 # 输出文件夹名称(自动追加"(YYYY年MM月)")
workbook: XX集团数据统计表 # Excel工作簿名称(自动追加"(YYYY年MM月)")
monthly_chart: 月度外部攻击态势统计 # 月度图表名称前缀,无需更改
weekly_chart: 每周网络安全态势统计 # 每周图表名称前缀,无需更改
summary_chart: 近六个月XX集团统计 # 汇总图表名称
queryStr:
- name: XX集团 # 公司显示名称
value: 'destOrgId == "org_id"' # 查询条件
summary: false # 是否参与近六个月汇总图(true=参与,false=不参与)
- name: XX子公司
value: 'destOrgId == "org_id"'
summary: true
- 输入命令
# 指定统计年月(优先使用此条)
python security_report.py --period 2026-04
工具会根据单位筛选语句循环生成如下图片和表格
四、结语
- 这两款工具都是我结合日常检查工作用到的,亲测好用哈哈哈
- 后续我也会根据大家的使用反馈,持续优化工具功能
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:青烟学安全 青烟 青烟《【安全运营】Nginx违规反代检测和月报绘图工具》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。
评论