předmluva
Pokud /chybí v přístupové cestě při návštěvě webu, většina middleware automaticky dokončí cestu a vrátí 302 nebo 301 skoků na obrázek níže, přičemž doménové jméno lokality použije hodnotu hlavičky Host.
Tato situace je ve skutečnosti méně riskantní a obtížnější pro útok na Host header. Nicméně, protože většina skenerů zranitelností tuto situaci rozpozná jako útok hostitele, většina stran A bude potřebovat zranitelnost opravit a problém kompletně vyřešit, aby prošla vyšší kontrolou nebo různými audity.
Cesta skoku není definována webovým projektem, ale automaticky ji přeskakuje middleware, takže ji nelze opravit zápisem statických proměnných a globální filtr ve webovém projektu nelze zablokovat. Musí být nakonfigurováno na úrovni webového serveru, aby se to opravilo. Zde jsou některé běžné opravy serverových referencí, a pokud jsou nějaké chyby nebo nedostatky, klidně je opravte.
Apache:
Metoda 1: Upravte soubor \conf\httpd.conf
Například upravte název serveru na doménové jméno aplikace
Přidejte následující řádky:
Prostě restartuj Apache.
Pokud je oprava úspěšná, uvidíte, že serverová strana použije nastavené ServerName.
Vysvětlení parametru:
Metoda 2:
Upravte soubor confhttpd.conf
Odkazujte na následující konfiguraci pro přidání:
Prostě restartuj Apache.
Funkce:
Odmítněte jakékoli žádosti o přístup přímo přes IP adresu 192.168.0.16, a pokud použijete přístup pomocí 192.168.0.16, budete vyzváni k zamítnutí přístupu. Povolen je pouze průchodPřihlášení k hypertextovému odkazu je viditelné.Tento přístup k doménám, hlavní adresář, ukazuje na C:www
Metoda 3:
Upravte soubor confhttpd.conf
Najděte "#LoadModule rewrite_module modules/mod_rewrite.so" a odstraňte před ním znak "#" Přidejte konfiguraci jako následující:
Prostě restartuj Apache.
Funkce:
Pokud hlavička HOST není 192.168.0.16, přesměruje se na chybovou stránku.
Nginx:
Metoda 1:
Upravit nginx.conf
Přidejte výchozí server, když je hostitelská hlavička upravena tak, aby odpovídala serveru, přeskočí na výchozí server a výchozí server přímo vrátí chybu 403.
Příklady zahrnují:
Prostě restartuj nginx.
Metoda 2:
Upravit nginx.conf
Pro přidání detekčního pravidla na cílový server se podívejte na následující červenou konfiguraci: Prostě restartuj nginx.
Kocour:
Modifikace tomcatconfserver.xml
Najděte následující místo:
Změňte název v Host na statickou doménu následovně:
Restartujte Tomcat, aby byla oprava dokončena.
IIS6.0:
Použijte ISAPI_Rewrite plugin k detekci obsahu balíčku požadavků a přepsání URL.
Balíček instalace pluginů a adresa ke stažení nástroje crack:Přihlášení k hypertextovému odkazu je viditelné.
Po dokončení stažení dvakrát klikněte na program a klikněte na Další pro instalaci.
Po rozepnutí nástroje na praskání jsou na obrázku zobrazeny tři pilníky
Zkopírujte a vložte tři prolomené soubory přímo do instalačního adresáře ISAPI_Rewrite, tedy přepište oficiální původní soubor, pokud nelze výzvu přepsat, můžete nejprve přejmenovat oficiální tři soubory na jiné názvy a pak zkopírovat všechny tři poškozené soubory.
Jakmile je výměna dokončena, musíte přidat uživatelskou skupinu SERVICE pro ISAPI_Rewrite.dll a udělit oprávnění ke čtení, čtení a spouštění. (Tento krok je velmi důležitý, jinak by další ISAPI_Rewrite nefungovaly).
Otevřete nástroj pro správu IIS, vyberte cílový projekt - > Vlastnosti - > ISAPI filtry - > Přidat - > Vyberte cestu k ISAPI_Rewrite.dll souboru, který jste nainstalovali - > OK
Restartujte IIS a znovu otevřete nástroj pro správu IIS, nový ISAPI_Rewrite tag uvidíte ve vlastnosti cílového projektu >, kde můžete přímo psát .htaccess pravidla pro přesměrování podle vašich potřeb.
Pro konfiguraci seznamu povolených hostitelů se můžete podívat na následující pravidla.
Po dokončení konfigurace, pokud pole Host v balíčku požadavků není nastaveno na 192.168.2.141, chybová stránka bude automaticky přeskočena.
IIS7.0/7.5/8.0:
Microsoft spustil modul pro přepsání URL, který dokáže filtrovat URL požadavku a který si musíte nainstalovat sami, a následuje adresa ke stažení nástroje:
Microsoft adresa ke stažení (64-bitová): Přihlášení k hypertextovému odkazu je viditelné. Microsoft adresa ke stažení (32 bitů): Přihlášení k hypertextovému odkazu je viditelné.
Po dokončení stažení dvakrát klikněte na program a klikněte na Další pro instalaci.
Pak restartujte nástroj pro správu IIS a uvidíte, že pod lištou IIS je nástroj na přepsání URL.
Dvakrát klikněte na funkci přepsání URL a přidejte pravidlo na příchozí lištu URL adresy.
Vyberte blokování požadavků.
Pro nastavení pravidel se podívejte na níže uvedený obrázek, zadejte doménové jméno webu nebo IP adresu do hlavičky hostitele a poté klikněte na OK.
Klikněte dvojklikem na pravidlo, které jste právě vytvořili.
Vyberte "Neshodovat vzor" ve výběru URL požadavku, v položce použití vyberte "Kompletní shoda", v typu akce "Přerušit žádost" a klikněte na tlačítko Aplikovat v pravém horním rohu.
Poté restartujte web, přičemž opětovné testování ukáže, že pokud host není na 192.168.124.149, server požadavek ukončí, čímž působí jako opatření proti hlavičce hostitele.
Přetištěno z:Přihlášení k hypertextovému odkazu je viditelné.
| 
Zveřejněno 4. 6. 2021 11:14:02
|
|
|
|
