[Ευπάθεια ασφαλείας] Αποτροπή επιθέσεων κεφαλίδας κεντρικού υπολογιστή στο διακομιστή web

Η διαδρομή μετάβασης δεν ορίζεται από το έργο Ιστού, αλλά μεταπηδά αυτόματα από το ενδιάμεσο λογισμικό, επομένως δεν μπορεί να διορθωθεί με την εγγραφή στατικών μεταβλητών και το καθολικό φίλτρο στο έργο Ιστού δεν μπορεί να αποκλειστεί. Πρέπει να ρυθμιστεί σε επίπεδο διακομιστή ιστού για να το διορθώσει. Ακολουθούν ορισμένες κοινές διορθώσεις αναφοράς διακομιστή και εάν υπάρχουν σφάλματα ή ανεπάρκειες, μη διστάσετε να τα διορθώσετε.

Απάτσι:

Μέθοδος 1:

Τροποποιήστε το αρχείο \conf\httpd.conf

Τροποποιήστε το ServerName στο όνομα τομέα της εφαρμογής, για παράδειγμα

Απλώς επανεκκινήστε τον Apache.

Εάν η επιδιόρθωση είναι επιτυχής, θα δείτε ότι η πλευρά του διακομιστή θα χρησιμοποιήσει το καθορισμένο ServerName.

Επεξήγηση παραμέτρου:

Τροποποιήστε το αρχείο confhttpd.conf

Ανατρέξτε στην ακόλουθη διαμόρφωση για προσθήκη:

Απλώς επανεκκινήστε τον Apache.

Λειτουργία:

Απορρίψτε τυχόν αιτήματα πρόσβασης απευθείας μέσω της διεύθυνσης IP 192.168.0.16 και εάν χρησιμοποιήσετε το 192.168.0.16 για πρόσβαση, θα σας ζητηθεί να αρνηθείτε την πρόσβαση. Επιτρέπεται μόνο η διέλευσηΗ σύνδεση με υπερσύνδεσμο είναι ορατή.Αυτή η πρόσβαση στο όνομα τομέα, ο κύριος κατάλογος οδηγεί στο C:www

Τροποποιήστε το αρχείο confhttpd.conf

Βρείτε το "#LoadModule rewrite_module modules/mod_rewrite.so" και αφαιρέστε το σύμβολο "#" μπροστά του

Προσθέστε μια διαμόρφωση όπως η εξής:

Απλώς επανεκκινήστε τον Apache.

Λειτουργία:

Όταν η κεφαλίδα HOST δεν είναι 192.168.0.16, ανακατευθύνεται στη σελίδα σφάλματος.

Τροποποιήστε το nginx.conf

Προσθέστε έναν προεπιλεγμένο διακομιστή, όταν η κεφαλίδα κεντρικού υπολογιστή τροποποιηθεί ώστε να ταιριάζει με τον διακομιστή, θα μεταβεί στον προεπιλεγμένο διακομιστή και ο προεπιλεγμένος διακομιστής θα επιστρέψει απευθείας ένα σφάλμα 403.

Τα παραδείγματα περιλαμβάνουν:

Απλώς επανεκκινήστε το nginx.

Τροποποιήστε το nginx.conf

Για να προσθέσετε έναν κανόνα ανίχνευσης στον διακομιστή προορισμού, ανατρέξτε στην ακόλουθη κόκκινη ρύθμιση παραμέτρων:

Απλώς επανεκκινήστε το nginx.

Τροποποίηση tomcatconfserver.xml

Βρείτε την ακόλουθη τοποθεσία:

Αλλάξτε το όνομα στο Host σε στατικό όνομα τομέα ως εξής:

Επανεκκινήστε το Tomcat για να ολοκληρώσετε την επισκευή.

Χρησιμοποιήστε ISAPI_Rewrite πρόσθετο για να εντοπίσετε τα περιεχόμενα του πακέτου αιτήματος και να ξαναγράψετε τη διεύθυνση URL.

Πακέτο εγκατάστασης προσθήκης και διεύθυνση λήψης εργαλείου ρωγμής:Η σύνδεση με υπερσύνδεσμο είναι ορατή.

Αφού ολοκληρωθεί η λήψη, κάντε διπλό κλικ στο πρόγραμμα και κάντε κλικ στο Επόμενο για εγκατάσταση.

Αφού αποσυμπιεστεί το εργαλείο διάρρηξης, τα τρία αρχεία φαίνονται στο σχήμα

Αντιγράψτε και επικολλήστε τα σπασμένα τρία αρχεία απευθείας στον κατάλογο εγκατάστασης του ISAPI_Rewrite, δηλαδή αντικαταστήστε το επίσημο αρχικό αρχείο, εάν η προτροπή δεν μπορεί να αντικατασταθεί, μπορείτε πρώτα να μετονομάσετε τα επίσημα τρία αρχεία σε άλλα ονόματα και, στη συνέχεια, να αντιγράψετε τα τρία σπασμένα αρχεία.

Μόλις ολοκληρωθεί η αντικατάσταση, πρέπει να προσθέσετε μια ομάδα χρηστών SERVICE για το ISAPI_Rewrite.dll και να εκχωρήσετε δικαιώματα ανάγνωσης, ανάγνωσης και εκτέλεσης. (Αυτό το βήμα είναι πολύ σημαντικό, διαφορετικά οι επόμενες ISAPI_Rewrite δεν θα λειτουργήσουν).

Ανοίξτε το εργαλείο διαχείρισης IIS, επιλέξτε το έργο προορισμού - > Ιδιότητες - > Φίλτρα ISAPI - > Προσθήκη - > Επιλέξτε τη διαδρομή του αρχείου ISAPI_Rewrite.dll που εγκαταστήσατε - > OK

Επανεκκινήστε τις υπηρεσίες IIS και ανοίξτε ξανά το εργαλείο διαχείρισης IIS, μπορείτε να δείτε τη νέα ετικέτα ISAPI_Rewrite στην ιδιότητα > έργου προορισμού, όπου μπορείτε να γράψετε απευθείας κανόνες .htaccess για ανακατεύθυνση σύμφωνα με τις ανάγκες σας.

Για να διαμορφώσετε τη λίστα επιτρεπόμενων κεφαλίδων κεντρικού συστήματος, μπορείτε να ανατρέξετε στους ακόλουθους κανόνες.

Μετά την ολοκλήρωση της ρύθμισης, αν το πεδίο Host στο πακέτο αίτησης δεν έχει οριστεί σε 192.168.2.141, η σελίδα σφάλματος θα μεταβεί αυτόματα.

Η Microsoft κυκλοφόρησε ένα εργαλείο μονάδας επανεγγραφής URL που μπορεί να φιλτράρει τη διεύθυνση URL αιτήματος, η οποία πρέπει να εγκατασταθεί μόνοι σας και η ακόλουθη είναι η διεύθυνση λήψης του εργαλείου:

Διεύθυνση λήψης της Microsoft (64-bit):        Η σύνδεση με υπερσύνδεσμο είναι ορατή.

Διεύθυνση λήψης Microsoft (32 bit):        Η σύνδεση με υπερσύνδεσμο είναι ορατή.

Αφού ολοκληρωθεί η λήψη, κάντε διπλό κλικ στο πρόγραμμα και κάντε κλικ στο Επόμενο για εγκατάσταση.

Στη συνέχεια, επανεκκινήστε το εργαλείο διαχείρισης IIS και μπορείτε να δείτε ότι υπάρχει ένα εργαλείο επανεγγραφής URL κάτω από τη γραμμή IIS.

Κάντε διπλό κλικ στη δυνατότητα επανεγγραφής διεύθυνσης URL και προσθέστε έναν κανόνα στη γραμμή κανόνων εισερχόμενων διευθύνσεων URL.

Επιλέξτε Αίτημα αποκλεισμού.

Ανατρέξτε στην παρακάτω εικόνα για να διαμορφώσετε τους κανόνες, συμπληρώστε το όνομα τομέα ή την IP της τοποθεσίας Web στην κεφαλίδα του κεντρικού υπολογιστή και, στη συνέχεια, κάντε κλικ στο κουμπί OK.

Κάντε διπλό κλικ στον κανόνα που μόλις δημιουργήσατε.

Επιλέξτε "Να μην ταιριάζει μοτίβο" στην επιλογή URL του αιτήματος, επιλέξτε "Ολοκλήρωση αντιστοίχισης" στο στοιχείο χρήσης, επιλέξτε "Ματαίωση αιτήματος" στον τύπο ενέργειας και κάντε κλικ στο κουμπί Εφαρμογή στην επάνω δεξιά γωνία.

Στη συνέχεια, επανεκκινήστε τον ιστότοπο, οπότε ο επανέλεγχος θα δείξει ότι όταν ο κεντρικός υπολογιστής δεν είναι 192.168.124.149, ο διακομιστής θα ματαιώσει το αίτημα, ενεργώντας έτσι ως προφύλαξη έναντι της κεφαλίδας του κεντρικού υπολογιστή.

Ανατύπωση από:Η σύνδεση με υπερσύνδεσμο είναι ορατή.