forord
Hvis /mangler i tilgangsstien når man besøker et nettsted, vil de fleste mellomvarer automatisk fullføre stien og returnere 302- eller 301-hopp til figuren nedenfor, og domenenavnet til lokasjonslokasjonen vil bruke verdien til vertshodet.
Denne situasjonen er faktisk mindre risikabel og vanskelig å utløse et headerangrep fra Host på. Men siden de fleste sårbarhetsskannere vil oppdage denne situasjonen som et angrep på vertshodet, vil de fleste Part A kreve at sårbarheten blir fikset og problemet fullstendig løst for å bestå høyere nivå inspeksjon eller ulike revisjoner.
Hoppbanen er ikke definert av webprosjektet, men hoppes automatisk av mellomvaren, så den kan ikke fikses ved å skrive statiske variabler, og det globale filteret i webprosjektet kan ikke blokkeres. Det må konfigureres på webservernivå for å fikse det. Her er noen vanlige rettelser av serverreferanser, og hvis det er feil eller mangler, er du velkommen til å rette dem.
Apache:
Metode 1: Endre \conf\httpd.conf-filen
Endre ServerName til domenenavnet til applikasjonen, for eksempel
Legg til følgende linjer:
Bare start Apache på nytt.
Hvis fiksingen lykkes, vil du se at serversiden bruker det satte ServerName.
Parameterforklaring:
Metode 2:
Endre filen confhttpd.conf
Se følgende konfigurasjon for å legge til:
Bare start Apache på nytt.
Funksjon:
Avvis alle tilgangsforespørsler direkte via IP-adressen 192.168.0.16, og hvis du bruker 192.168.0.16 for å få tilgang, vil du bli bedt om å nekte tilgang. Kun passasje er tillattInnloggingen med hyperkoblingen er synlig.Denne domenenavntilgangen, hovedkatalogen peker til C:www
Metode 3:
Endre filen confhttpd.conf
Finn "#LoadModule rewrite_module modules/mod_rewrite.so" og fjern "#"-tegnet foran det Legg til en konfigurasjon som følger:
Bare start Apache på nytt.
Funksjon:
Når HOST-headeren ikke er 192.168.0.16, omdirigeres den til feilsiden.
Nginx:
Metode 1:
Endre nginx.conf
Legg til en standardserver, når vertsheaderen endres for å matche serveren, vil den hoppe til standardserveren, og standardserveren vil direkte returnere en 403-feil.
Eksempler inkluderer:
Bare start nginx på nytt.
Metode 2:
Endre nginx.conf
For å legge til en deteksjonsregel på målserveren, se følgende røde konfigurasjon: Bare start nginx på nytt.
Tomcat:
Modifikasjon tomcatconfserver.xml
Finn følgende sted:
Endre navnet i Host til et statisk domenenavn som følger:
Start Tomcat på nytt for å fullføre reparasjonen.
IIS6.0:
Bruk ISAPI_Rewrite plugin for å oppdage innholdet i forespørselspakken og skrive URL-en på nytt.
Plugin-installasjonspakke og nedlastingsadresse for crack-verktøy:Innloggingen med hyperkoblingen er synlig.
Etter nedlastingen er fullført, dobbeltklikk på programmet og klikk Neste for å installere.
Etter at cracking-verktøyet er pakket ut, vises de tre filene i figuren
Kopier og lim inn de tre knuste filene direkte inn i installasjonsmappen til ISAPI_Rewrite, det vil si overskriv den offisielle originalfilen; hvis prompten ikke kan overskrives, kan du først gi de offisielle tre filene andre navn, og deretter kopiere de tre knuste filene.
Når erstatningen er fullført, må du legge til en SERVICE-brukergruppe for ISAPI_Rewrite.dll og gi lese-, lese- og kjøretillatelser. (Dette steget er veldig viktig, ellers vil påfølgende ISAPI_Rewrite ikke fungere).
Åpne IIS-administrasjonsverktøyet, velg målprosjektet - > Egenskaper - > ISAPI-filtre - > Legg til - > Velg stien til ISAPI_Rewrite.dll-filen du installerte - > OK
Start IIS på nytt og åpne IIS-administrasjonsverktøyet på nytt, du kan se den nye ISAPI_Rewrite-taggen i target project->-egenskapen, hvor du kan skrive .htaccess-regler direkte for å omdirigere etter dine behov.
For å konfigurere hvitelisten for vertens header, kan du referere til følgende regler.
Etter at konfigurasjonen er fullført, hvis Host-feltet i forespørselspakken ikke er satt til 192.168.2.141, vil feilsiden automatisk bli hoppet.
IIS7.0/7.5/8.0:
Microsoft har lansert et verktøy for URL-omskriving som kan filtrere forespørsels-URL-en, som må installeres av deg selv, og følgende er nedlastingsadressen til verktøyet:
Microsofts nedlastingsadresse (64-bit): Innloggingen med hyperkoblingen er synlig. Microsofts nedlastingsadresse (32 biter): Innloggingen med hyperkoblingen er synlig.
Etter nedlastingen er fullført, dobbeltklikk på programmet og klikk Neste for å installere.
Deretter starter du IIS-administrasjonsverktøyet på nytt, og du kan se at det finnes et URL-omskrivingsverktøy under IIS-linjen.
Dobbeltklikk på URL-omskrivingsfunksjonen og legg til en regel på URL-adressen innkommende regellinje.
Velg Be om blokkering.
Se figuren nedenfor for å konfigurere reglene, fyll inn nettstedets domenenavn eller IP i vertsheaderen, og klikk deretter OK.
Dobbeltklikk på regelen du nettopp har laget.
Velg "Ikke matche mønster" i URL-valget for forespørselen, velg "Fullfør match" i brukspunktet, velg "Avbryt forespørsel" i handlingstypen, og klikk på Apply-knappen øverst til høyre.
Deretter starter du nettstedet på nytt, og da vil ny testing vise at når verten ikke er 192.168.124.149, vil serveren avbryte forespørselen, og dermed fungere som en forholdsregel mot vertens header.
Gjengitt fra:Innloggingen med hyperkoblingen er synlig.
| 
Publisert 2021-6-4 11:14:02
|
|
|
|
