inleiding
Als /ontbreekt in het toegangspad bij het bezoeken van een website, zal de meeste middleware automatisch het pad voltooien en 302- of 301-sprongen teruggeven naar de onderstaande figuur, en de domeinnaam van de locatielocatie zal de waarde van de hostheader gebruiken.
Deze situatie is eigenlijk minder risicovol en moeilijk om een header-aanval van de Host te plaatsen. Aangezien de meeste kwetsbaarheidsscanners deze situatie echter als een hosthoofdaanval detecteren, zullen de meeste partij A vereisen dat de kwetsbaarheid wordt opgelost en het probleem volledig wordt opgelost om te slagen voor de hogere inspectie of diverse audits.
Het jumppad wordt niet gedefinieerd door het webproject, maar wordt automatisch door de middleware gejumpt, dus het kan niet worden opgelost door statische variabelen te schrijven, en het globale filter in het webproject kan niet worden geblokkeerd. Het moet op webserverniveau worden geconfigureerd om het op te lossen. Hier zijn enkele veelvoorkomende oplossingen voor serverreferenties, en als er fouten of tekortkomingen zijn, voel je vrij om deze te corrigeren.
Apache:
Methode 1: Wijzig het \conf\httpd.conf-bestand
Wijzig bijvoorbeeld de ServerName naar de domeinnaam van de applicatie
Voeg de volgende regels toe:
Gewoon Apache opnieuw opstarten.
Als de oplossing succesvol is, zul je zien dat de serverkant de ingestelde ServerName gebruikt.
Parameteruitleg:
Methode 2:
Wijzig het confhttpd.conf-bestand
Raadpleeg de volgende configuratie om toe te voegen:
Gewoon Apache opnieuw opstarten.
Functie:
Weiger toegangsverzoeken rechtstreeks via het IP-adres 192.168.0.16, en als je 192.168.0.16 gebruikt om toegang te krijgen, word je gevraagd toegang te weigeren. Alleen doorgang is toegestaanDe hyperlink-login is zichtbaar.Deze domeinnaam-toegang verwijst naar C:www
Methode 3:
Wijzig het confhttpd.conf-bestand
Zoek "#LoadModule rewrite_module modules/mod_rewrite.so" en verwijder het "#"-teken ervoor Voeg een configuratie toe als volgt:
Gewoon Apache opnieuw opstarten.
Functie:
Wanneer de HOST-header niet 192.168.0.16 is, wordt deze doorgestuurd naar de foutpagina.
Nginx:
Methode 1:
Verander nginx.conf
Voeg een standaardserver toe; wanneer de hostheader wordt aangepast om bij de server te passen, springt deze naar de standaardserver en geeft de standaardserver direct een 403-foutmelding terug.
Voorbeelden zijn:
Begin gewoon nginx opnieuw.
Methode 2:
Verander nginx.conf
Om een detectieregel toe te voegen aan de doelserver, zie de volgende rode configuratie: Begin gewoon nginx opnieuw.
Tomcat:
Modificatie tomcatconfserver.xml
Vind de volgende locatie:
Verander de naam in Host naar een statische domeinnaam als volgt:
Start Tomcat opnieuw om de reparatie te voltooien.
IIS6.0:
Gebruik ISAPI_Rewrite plugin om de inhoud van het aanvraagpakket te detecteren en de URL te herschrijven.
Plugin-installatiepakket en crack-tool downloadadres:De hyperlink-login is zichtbaar.
Na voltooiing van de download dubbelklik je op het programma en klik je op Volgend om te installeren.
Nadat het krakgereedschap is uitgepakt, worden de drie bestanden in de figuur weergegeven
Kopieer en plak de drie gekraakte bestanden direct in de installatiemap van de ISAPI_Rewrite, dat wil zeggen, overschrijf het officiële originele bestand; als de prompt niet kan worden overschreven, kun je eerst de officiële drie bestanden hernoemen naar andere namen en vervolgens de drie gekraakte bestanden kopiëren.
Zodra de vervanging voltooid is, moet je een SERVICE-gebruikersgroep toevoegen voor de ISAPI_Rewrite.dll en lees-, lees- en uitvoeringsrechten verlenen. (Deze stap is erg belangrijk, anders werkt de volgende ISAPI_Rewrite niet).
Open de IIS Beheertool, selecteer het doelproject - > Eigenschappen - > ISAPI-filters - > Toevoegen - > Selecteer het pad van het ISAPI_Rewrite.dll bestand dat u hebt geïnstalleerd - > OK
Herstart IIS en open de IIS-beheertool opnieuw, je kunt de nieuwe ISAPI_Rewrite-tag zien in de target project-> eigenschap, waar je direct .htaccess-regels kunt schrijven om te redirecten volgens jouw behoeften.
Om de hostheader-whitelist te configureren, kun je de volgende regels raadplegen.
Na voltooiing van de configuratie, als het Host-veld in het aanvraagpakket niet is ingesteld op 192.168.2.141, wordt de foutpagina automatisch gesprongen.
IIS7.0/7.5/8.0:
Microsoft heeft een tool voor het herschrijven van URL's gelanceerd die de verzoek-URL kan filteren, die zelf geïnstalleerd moet worden, en hieronder volgt het downloadadres van de tool:
Microsoft downloadadres (64-bit): De hyperlink-login is zichtbaar. Microsoft downloadadres (32 bits): De hyperlink-login is zichtbaar.
Na voltooiing van de download dubbelklik je op het programma en klik je op Volgend om te installeren.
Vervolgens start je de IIS-beheertool opnieuw op, en je ziet dat er een URL-herschrijftool onder de IIS-balk staat.
Klik dubbel op de URL-herschrijffunctie en voeg een regel toe aan de inkomende regelbalk van het URL-adres.
Selecteer Verzoek om blokkering.
Raadpleeg de onderstaande figuur om de regels te configureren, vul de domeinnaam of het IP-adres van de website in de hostheader in en klik vervolgens op OK.
Dubbelklik op de regel die je net hebt gemaakt.
Selecteer "Patroon niet overeenkomen" in de URL-selectie van het verzoek, kies "Voltooi match" in het gebruiksitem, kies "Verzoek afbreken" in het actietype en klik rechtsboven op de knop Toepassen.
Vervolgens wordt de website opnieuw opgestart, waarna opnieuw testen laat zien dat wanneer de host niet 192.168.124.149 is, de server het verzoek zal afbreken, wat als voorzorgsmaatregel fungeert tegen de hostheader.
Herdrukt van:De hyperlink-login is zichtbaar.
| 
Geplaatst op 4-6-2021 11:14:02
|
|
|
|
