előszó
Ha a /hiányzik a hozzáférési útvonalból weboldal megtekintésekor, a legtöbb middleware automatikusan befejezi az útvonalat, és visszaadja a 302 vagy 301 ugrást az alábbi ábra, és a Location hely domain neve a Host fejléc értékét használja.
Ez a helyzet valójában kevésbé kockázatos, és nehéz egy Host fejléctámadást indítani. Azonban mivel a legtöbb sebezhetőségi szkenner ezt a helyzetet hostfej támadásként érzékeli, a legtöbb A félnek meg kell javítania a sebezhetőséget és a problémát teljesen megoldani, hogy átmenjen a magasabb szintű ellenőrzésen vagy különféle auditokon.
Az ugróút nem a webprojekt határozza meg, hanem automatikusan ugródik a middleware-ben, így nem lehet statikus változók írásával javítani, és a webprojektben lévő globális szűrőt sem lehet blokkolni. A javításhoz webszerver szinten kell konfigurálni. Íme néhány gyakori szerverhivatkozási javítás, és ha hibák vagy hiányosságok vannak, nyugodtan javítsd ki.
Apache:
1. módszer: Módosítsd a \conf\httpd.conf fájlt
Például módosítsuk a ServerName-et az alkalmazás domainnevére
Add hozzá a következő sorokat:
UseCanonicalName bekapcsolt
Csak indítsd újra az Apache-t.
Ha a javítás sikeres, látni fogod, hogy a szerveroldal a beállított ServerName funkciót fogja használni.
Paraméter magyarázata:
2. módszer:
Módosítsd a confhttpd.conf fájlt
Lásd az alábbi konfigurációt a hozzáadáshoz:
Csak indítsd újra az Apache-t.
Funkció:
Közvetlenül a 192.168.0.16 IP-címen keresztül történő hozzáférési kéréseket elutasít, és ha a 192.168.0.16-os címet használod a hozzáféréshez, akkor felszólítani fog, hogy megtagadd a hozzáférést. Csak áthaladás engedélyezettA hiperlink bejelentkezés látható.Ez a domain név hozzáférése a fő könyvtár C:www-re mutat
3. módszer:
Módosítsd a confhttpd.conf fájlt
Keresd meg a "#LoadModule rewrite_module modules/mod_rewrite.so" feliratot, és távolítsd el előtte a "#" jelet Adj hozzá egy ilyen konfigurációt, mint például:
Csak indítsd újra az Apache-t.
Funkció:
Ha a HOST fejléc nem 192.168.0.16, akkor a hibaoldalra irányít.
Nginx:
1. módszer:
Módosítsa nginx.conf
Alapértelmezett szerver hozzáadása esetén a host fejlécét módosítják, hogy illeszkedjen a szerverhez, az átugrik az alapértelmezett szerverre, és az alapértelmezett szerver közvetlenül 403 hibát ad vissza.
Példák:
Csak indítsd újra, nginx.
2. módszer:
Módosítsa nginx.conf
A célszerver észlelési szabályának hozzáadásához lásd a következő piros konfigurációt: Csak indítsd újra, nginx.
Tomcat:
Módosítás tomcatconfserver.xml
Keresse meg a következő helyet:
Változtasd a nevet a Host rendszerben statikus domainnévre az alábbiak szerint:
Indítsd újra a Tomcat-et, hogy befejezd a javítást.
IIS6.0:
Használd ISAPI_Rewrite plugint a kéréscsomag tartalmának felismerésére és az URL-re való átírásra.
Plugin telepítési csomag és töréseszköz letöltési címe:A hiperlink bejelentkezés látható.
A letöltés befejezése után kattintson dupla gombra a programra, majd a következő gombra az installációhoz.
Miután a törőeszköz kibontásra került, a három fájl látható az ábrán
Másold és illesztsd be a tört három fájlt közvetlenül a ISAPI_Rewrite telepítési könyvtárába, vagyis írd felül az eredeti hivatalos fájlt, ha a promptot nem lehet felülírni, először átnevezheted a hivatalos három fájlt más névre, majd másolhatod a három tört fájlt.
A csere befejezése után hozzá kell adnod egy SERVICE felhasználói csoportot a ISAPI_Rewrite.dll számára, és olvasási, olvasási és futtatási jogosítványokat kell megadnod. (Ez a lépés nagyon fontos, különben a következő ISAPI_Rewrite nem fog működni).
Nyisd meg az IIS Adminisztrációs Eszközt, válaszd ki a célprojektet - > Tulajdonságokat - > ISAPI szűrőket - > Hozzáadást - > Válaszd ki a telepített ISAPI_Rewrite.dll fájl útját - > OK
Indítsd újra az IIS-t és nyisd meg újra az IIS menedzsment eszközt, láthatod az új ISAPI_Rewrite címkét a célprojekt-> tulajdonságban, ahol közvetlenül írhatsz .htaccess szabályokat, hogy az igényeid szerint átirányítsd.
A host fejléc fehérlistájának konfigurálásához a következő szabályokat használhatja.
A konfiguráció befejezése után, ha a kéréscsomag Host mezője nincs 192.168.2.141-re állítva, a hibaoldal automatikusan ugródik.
IIS7.0/7.5/8.0:
A Microsoft elindított egy URL újraírási modul eszközt, amely képes szűrni a kérés URL-jét, amit magának kell telepíteni, és az alábbiakban található az eszköz letöltési címe:
Microsoft letöltési cím (64-bit): A hiperlink bejelentkezés látható. Microsoft letöltési cím (32 bit): A hiperlink bejelentkezés látható.
A letöltés befejezése után kattintson dupla gombra a programra, majd a következő gombra az installációhoz.
Ezután újraindítsd az IIS kezelőeszközt, és láthatod, hogy az IIS sáv alatt van egy URL újraírás eszköz.
Kattintson dupla kattintásra az URL újraírás funkcióra, és adjon hozzá egy szabályt az URL cím bejövő szabálysávján.
Válaszd ki a Kérés blokkolását.
A szabályok beállításához lásd az alábbi ábra, a szerver domain nevét vagy IP-címét a host fejlécében töltsd be, majd kattints OK gombra.
Duplán kattints a most létrehozott szabályra.
Válaszd az URL-választás során a "Nem egyeztesd meg a mintát" opciót, válaszd a használati elemben a "Complete match" opciót, az akciótípusban a "Megszakítás kérése" opciót, majd kattints az Alkalmazás gombra a jobb felső sarokban.
Ezután újraindítjuk a weboldalt, ekkor újra tesztelve megmutatja, hogy ha a host nem 192.168.124.149, akkor a szerver megszakítja a kérést, így óvintézkedésként szolgál a host fejlécével szemben.
Átadott forrás:A hiperlink bejelentkezés látható.
| 
Közzétéve: 2021-6-4 11:14:02
|
|
|
|
