Vorwort
Wenn /fehlt im Zugriffspfad beim Besuch einer Website, vervollständigt die meiste Middleware automatisch den Pfad und gibt 302- oder 301-Sprünge auf die untenstehende Abbildung zurück, wobei der Domainname des Standorts den Wert des Host-Headers verwendet.
Diese Situation ist tatsächlich weniger riskant und es ist schwierig, einen Header-Angriff des Hosts zu starten. Da die meisten Schwachstellenscanner diese Situation jedoch als Angriff des Hostkopfs erkennen, benötigen die meisten Partei A, dass die Schwachstelle behoben und das Problem vollständig gelöst wird, um die höherwertige Inspektion oder verschiedene Audits zu bestehen.
Der Sprungpfad wird vom Webprojekt nicht definiert, sondern automatisch von der Middleware übersprungen, sodass er nicht durch statische Variablen behoben werden kann, und der globale Filter im Webprojekt kann nicht blockiert werden. Muss auf Webserverebene konfiguriert werden, um das zu beheben. Hier sind einige gängige Serverreferenz-Korrekturen, und falls es Fehler oder Unzulänglichkeiten gibt, können Sie diese gerne korrigieren.
Apache:
Methode 1: Ändern Sie die Datei \conf\httpd.conf
Ändern Sie zum Beispiel den ServerName in den Domainnamen der Anwendung
Fügen Sie folgende Zeilen hinzu:
Einfach Apache neu starten.
Wenn die Lösung erfolgreich ist, wirst du sehen, dass die Serverseite das Set ServerName verwendet.
Parametererklärung:
Methode 2:
Ändern Sie die Datei confhttpd.conf
Siehe folgende Konfiguration, um hinzuzufügen:
Einfach Apache neu starten.
Funktion:
Verweigern Sie Zugriffsanfragen direkt über die IP-Adresse 192.168.0.16, und wenn Sie 192.168.0.16 verwenden, werden Sie aufgefordert, den Zugriff zu verweigern. Nur Durchfahrt ist erlaubtDer Hyperlink-Login ist sichtbar.Bei diesem Domainzugriff verweist das Hauptverzeichnis auf C:www
Methode 3:
Ändern Sie die Datei confhttpd.conf
Finde "#LoadModule rewrite_module modules/mod_rewrite.so" und entferne das "#"-Schild davor Fügen Sie eine Konfiguration wie die folgende hinzu:
Einfach Apache neu starten.
Funktion:
Wenn der HOST-Header nicht 192.168.0.16 ist, leitet er zur Fehlerseite um.
Nginx:
Methode 1:
Ändern Sie nginx.conf
Füge einen Standardserver hinzu, und wenn der Host-Header an den Server angepasst wird, springt er zum Standardserver, und der Standardserver gibt direkt einen 403-Fehler zurück.
Beispiele sind:
Einfach nginx neu starten.
Methode 2:
Ändern Sie nginx.conf
Um eine Erkennungsregel zum Zielserver hinzuzufügen, siehe die folgende rote Konfiguration: Einfach nginx neu starten.
Tomcat:
Modifikation tomcatconfserver.xml
Finden Sie den folgenden Ort:
Ändern Sie den Namen in Host wie folgt in einen statischen Domainnamen:
Starte Tomcat neu, um die Reparatur abzuschließen.
IIS6.0:
Verwenden Sie ISAPI_Rewrite Plugin, um den Inhalt des Anfragepakets zu erkennen und die URL neu zu schreiben.
Plugin-Installationspaket und Crack-Tool Download-Adresse:Der Hyperlink-Login ist sichtbar.
Nach Abschluss des Downloads klicken Sie doppelt auf das Programm und klicken Sie auf Nächsten, um zu installieren.
Nachdem das Knackwerkzeug entpackt wurde, werden die drei Dateien in der Abbildung dargestellt
Kopiere und füge die drei geknackten Dateien direkt in das Installationsverzeichnis der ISAPI_Rewrite ein, das heißt, überschreibe die offizielle Originaldatei; wenn der Prompt nicht überschrieben werden kann, kannst du die offiziellen drei Dateien zuerst in andere Namen umbenennen und dann die drei geknackten Dateien kopieren.
Sobald der Ersatz abgeschlossen ist, müssen Sie eine SERVICE-Benutzergruppe für die ISAPI_Rewrite.dll hinzufügen und Lese-, Lese- und Ausführensberechtigungen erteilen. (Dieser Schritt ist sehr wichtig, sonst funktionieren nachfolgende ISAPI_Rewrite nicht).
Öffnen Sie das IIS-Administrationstool, wählen Sie das Zielprojekt aus – > Eigenschaften – > ISAPI-Filter – > Hinzufügen – > Wähle den Pfad der installierten ISAPI_Rewrite.dll-Datei aus – > OK
Starte IIS neu und öffne das IIS-Management-Tool erneut, du kannst das neue ISAPI_Rewrite-Tag in der Ziel-Project->-Eigenschaft sehen, wo du direkt .htaccess-Regeln schreiben kannst, um sie entsprechend deinen Bedürfnissen umzuleiten.
Um die Host-Header-Whitelist zu konfigurieren, können Sie sich auf die folgenden Regeln beziehen.
Nach Abschluss der Konfiguration, wenn das Host-Feld im Anfragepaket nicht auf 192.168.2.141 gesetzt ist, wird die Fehlerseite automatisch übersprungen.
IIS7.0/7.5/8.0:
Microsoft hat ein URL-Umschreibmodul-Tool gestartet, das die Anfrage-URL filtern kann, die von Ihnen selbst installiert werden muss, und das Folgende ist die Download-Adresse des Tools:
Microsoft-Downloadadresse (64-Bit): Der Hyperlink-Login ist sichtbar. Microsoft-Downloadadresse (32 Bit): Der Hyperlink-Login ist sichtbar.
Nach Abschluss des Downloads klicken Sie doppelt auf das Programm und klicken Sie auf Nächsten, um zu installieren.
Dann starte ich das IIS-Verwaltungstool neu, und du siehst, dass es unter der IIS-Leiste ein URL-Umschreib-Tool gibt.
Doppelklicke auf die URL-Umschreibfunktion und füge eine Regel in die URL-Adresse eingehende Regelleiste hinzu.
Wählen Sie Blockierung anfordern.
Siehe die untenstehende Abbildung, um die Regeln zu konfigurieren, fülle den Website-Domainnamen oder die IP im Host-Header aus und klicke dann auf OK.
Doppelklicke auf die Regel, die du gerade erstellt hast.
Wählen Sie in der URL-Auswahl der Anfrage "Nicht übereinstimmen" aus, wählen Sie im Nutzungselement "Abgleich abschließen", wählen Sie im Aktionstyp "Anfrage abbrechen" und klicken Sie oben rechts auf die Schaltfläche Anwenden.
Dann wird die Website neu gestartet, woraufhin ein erneutes Testen zeigt, dass der Server die Anfrage abbricht, wenn der Host nicht 192.168.124.149 ist, was als Vorsichtsmaßnahme gegen den Host-Header dient.
Nachdruck von:Der Hyperlink-Login ist sichtbar.
| 
Veröffentlicht am 04.06.2021, 11:14:02
|
|
|
|
