forord
Hvis /mangler i adgangsstien, når man besøger en hjemmeside, vil de fleste middleware automatisk fuldføre stien og returnere 302- eller 301-hop til figuren nedenfor, og domænenavnet for lokationslokationen vil bruge værdien af hostheaderen.
Denne situation er faktisk mindre risikabel og sværere at lave et hovedstød fra Host på. Men da de fleste sårbarhedsscannere vil opdage denne situation som et værtshovedangreb, vil de fleste Party A kræve, at sårbarheden bliver rettet og problemet fuldstændigt løst for at bestå en højere inspektion eller forskellige revisioner.
Jump-stien er ikke defineret af webprojektet, men springes automatisk af middleware, så den kan ikke fikses ved at skrive statiske variabler, og det globale filter i webprojektet kan ikke blokeres. Det skal konfigureres på webserverniveau for at løse det. Her er nogle almindelige rettelser af serverreferencer, og hvis der er fejl eller utilstrækkeligheder, er du meget velkommen til at rette dem.
Apache:
Metode 1: Ændr \conf\httpd.conf-filen
Ændr for eksempel ServerName til applikationens domænenavn
Tilføj følgende linjer:
Genstart bare Apache.
Hvis løsningen lykkes, vil du se, at serversiden vil bruge det satte ServerName.
Parameterforklaring:
Metode 2:
Ændr confhttpd.conf-filen
Se følgende konfiguration for at tilføje:
Genstart bare Apache.
Funktion:
Afvis adgangsanmodninger direkte via IP-adressen 192.168.0.16, og hvis du bruger 192.168.0.16 til adgang, vil du blive bedt om at nægte adgang. Kun passage er tilladtHyperlink-login er synlig.Denne domænenavnsadgang, hovedmappen peger på C:www
Metode 3:
Ændr confhttpd.conf-filen
Find "#LoadModule rewrite_module modules/mod_rewrite.so" og fjern "#"-tegnet foran det Tilføj en konfiguration som følgende:
Genstart bare Apache.
Funktion:
Når HOST-headeren ikke er 192.168.0.16, omdirigerer den til fejlsiden.
Nginx:
Metode 1:
Ændr nginx.conf
Tilføj en standardserver, og når værtsheaderen ændres til at matche serveren, hopper den til standardserveren, og standardserveren returnerer direkte en 403-fejl.
Eksempler inkluderer:
Bare genstart nginx.
Metode 2:
Ændr nginx.conf
For at tilføje en detektionsregel til målserveren, se følgende røde konfiguration: Bare genstart nginx.
Tomcat:
Modifikation tomcatconfserver.xml
Find følgende sted:
Ændr navnet i Host til et statisk domænenavn som følger:
Genstart Tomcat for at fuldføre reparationen.
IIS6.0:
Brug ISAPI_Rewrite plugin til at opdage indholdet af anmodningspakken og omskrive URL'en.
Plugin-installationspakke og crack-værktøjs-downloadadresse:Hyperlink-login er synlig.
Når downloadet er færdigt, dobbeltklik på programmet og klik på Næste for at installere.
Efter at knækværktøjet er pakket ud, vises de tre filer i figuren
Kopier og indsæt de knækkede tre filer direkte ind i ISAPI_Rewrite's installationsmappe, det vil sige, overskriv den officielle originale fil; hvis prompten ikke kan overskrives, kan du først omdøbe de officielle tre filer til andre navne og derefter kopiere de tre knækkede filer.
Når udskiftningen er færdig, skal du tilføje en SERVICE-brugergruppe for ISAPI_Rewrite.dll og give læse-, læse- og køretilladelser. (Dette trin er meget vigtigt, ellers vil efterfølgende ISAPI_Rewrite ikke fungere).
Åbn IIS Administration Tool, vælg målprojektet - > Egenskaber - > ISAPI Filtre - > Tilføj - > Vælg stien for den ISAPI_Rewrite.dll fil, du installerede - > OK
Genstart IIS og genopstart IIS-administrationsværktøjet, du kan se det nye ISAPI_Rewrite-tag i target project->-egenskaben, hvor du direkte kan skrive .htaccess-regler for at omdirigere efter dine behov.
For at konfigurere hostheader-whitelisten kan du henvise til følgende regler.
Når konfigurationen er færdig, hvis Host-feltet i anmodningspakken ikke er sat til 192.168.2.141, vil fejlsiden automatisk blive sprunget over.
IIS7.0/7.5/8.0:
Microsoft har lanceret et URL-omskrivningsmodul, der kan filtrere anmodnings-URL'en, som du selv skal installere, og følgende er værktøjets downloadadresse:
Microsofts downloadadresse (64-bit): Hyperlink-login er synlig. Microsoft downloadadresse (32 bit): Hyperlink-login er synlig.
Når downloadet er færdigt, dobbeltklik på programmet og klik på Næste for at installere.
Genstart derefter IIS-administrationsværktøjet, og du kan se, at der er et URL-omskrivningsværktøj under IIS-linjen.
Dobbeltklik på URL-omskrivningsfunktionen og tilføj en regel i URL-adressen indgående regellinje.
Vælg Anmodning om blokering.
Se figuren nedenfor for at konfigurere reglerne, udfyld websitets domænenavn eller IP i værtsheaderen, og klik derefter OK.
Dobbeltklik på den regel, du lige har oprettet.
Vælg "Do not match pattern" i URL-valget af anmodningen, vælg "Fuldfør match" i brugspunktet, vælg "Afbryd anmodning" i handlingstypen, og klik på Apply-knappen i øverste højre hjørne.
Genstart derefter hjemmesiden, hvorefter gentest vil vise, at når værten ikke er 192.168.124.149, vil serveren afbryde anmodningen og dermed fungere som en forholdsregel mod værtsheaderen.
Genoptrykt fra:Hyperlink-login er synlig.
| 
Opslået den 2021-6-4 11:14:02
|
|
|
|
