przedmowa
Jeśli /nie pojawia się w ścieżce dostępu podczas odwiedzania strony, większość middleware automatycznie zakończy ścieżkę i zwróci 302 lub 301 skoków do poniższego rysunku, a nazwa domeny lokalizacji Location będzie używać wartości nagłówka Host.
Ta sytuacja jest w rzeczywistości mniej ryzykowna i trudna do przeprowadzenia ataku nagłówka Hosta. Jednak ponieważ większość skanerów podatności wykryje tę sytuację jako atak na głowę hosta, większość Partii A będzie wymagać usunięcia luki i całkowitego rozwiązania problemu, aby przejść wyższy poziom inspekcji lub różnych audytów.
Ścieżka skoku nie jest definiowana przez projekt webowy, lecz automatycznie przeskakiwana przez oprogramowanie pośredniczące, więc nie da się jej naprawić przez zapis zmiennych statycznych, a globalny filtr w projekcie sieciowym nie może być zablokowany. Trzeba to skonfigurować na poziomie serwera WWW, żeby to naprawić. Oto kilka typowych poprawek dla serwerów, a jeśli są jakieś błędy lub niedoskonałości, śmiało je poprawiajcie.
Apache:
Metoda 1: Zmodyfikuj plik \conf\httpd.conf
Na przykład zmodyfikuj nazwę serwera na nazwę domeny aplikacji
Dodaj następujące linie:
Po prostu zrestartuj Apache.
Jeśli poprawka się powiedzie, zobaczysz, że strona serwera użyje ustawionej nazwy serwera.
Wyjaśnienie parametrów:
Metoda 2:
Zmodyfikuj plik confhttpd.conf
Można dodać następującą konfigurację:
Po prostu zrestartuj Apache.
Funkcja:
Odmówić wszelkich żądań dostępu bezpośrednio przez adres IP 192.168.0.16, a jeśli użyjesz 192.168.0.16, zostaniesz poproszony o odmowę dostępu. Dozwolony jest tylko przejazdLogowanie do linku jest widoczne.Ten dostęp do domeny, główny katalog, wskazuje na C:www
Metoda 3:
Zmodyfikuj plik confhttpd.conf
Znajdź "#LoadModule rewrite_module modules/mod_rewrite.so" i usuń znak "#" przed nim Dodaj konfigurację taką:
Po prostu zrestartuj Apache.
Funkcja:
Gdy nagłówek HOST nie jest 192.168.0.16, przekierowuje na stronę błędu.
Nginx:
Metoda 1:
Zmodyfikuj nginx.conf
Dodaj domyślny serwer, gdy nagłówek hosta zostanie zmodyfikowany do serwera, przeskoczy on do domyślnego serwera, a domyślny serwer zwróci bezpośrednio błąd 403.
Przykłady obejmują:
Po prostu zrestartuj nginx.
Metoda 2:
Zmodyfikuj nginx.conf
Aby dodać regułę wykrywania do docelowego serwera, sprawdź następującą konfigurację czerwoną: Po prostu zrestartuj nginx.
Tomcat:
tomcatconfserver.xml modyfikacji
Znajdź następujące miejsce:
Zmień nazwę domeny w Host na statyczną w następujący sposób:
Restartuj Tomcata, aby zakończyć naprawę.
IIS6.0:
Użyj ISAPI_Rewrite wtyczki, aby wykryć zawartość pakietu żądań i przepisać adres URL.
Pakiet instalacyjny wtyczki i adres do pobrania narzędzia crack:Logowanie do linku jest widoczne.
Po zakończeniu pobrania kliknij dwukrotnie program i kliknij Dalej, aby zainstalować.
Po rozpięciu narzędzia do pękania trzy pilniki są pokazane na rysunku
Skopiuj i wklej trzy złamane pliki bezpośrednio do katalogu instalacyjnego ISAPI_Rewrite, czyli nadpisz oficjalny oryginalny plik, jeśli nie da się nadpisać polecenia, najpierw możesz zmienić nazwę trzech oficjalnych plików na inne nazwy, a następnie skopiować trzy złamane pliki.
Po zakończeniu wymiany musisz dodać grupę użytkowników SERVICE dla ISAPI_Rewrite.dll oraz przyznać uprawnienia do odczytu, odczytu i uruchamiania. (Ten krok jest bardzo ważny, w przeciwnym razie kolejne ISAPI_Rewrite nie zadziałają).
Otwórz narzędzie do administracji IIS, wybierz docelowy projekt - > Właściwości - > Filtry ISAPI - > Dodaj - > Wybierz ścieżkę do pliku ISAPI_Rewrite.dll, który zainstalowałeś - > OK
Po ponownym uruchomieniu IIS i ponownym otwarciu narzędzia zarządzania IIS, nowy tag ISAPI_Rewrite zobaczysz w celu projektu >, gdzie możesz bezpośrednio pisać reguły .htaccess, które przekierowują według twoich potrzeb.
Aby skonfigurować listę białych hostów na nagłówku, możesz odwołać się do następujących reguł.
Po zakończeniu konfiguracji, jeśli pole Host w pakiecie żądania nie jest ustawione na 192.168.2.141, strona błędu zostanie automatycznie przeskoczona.
IIS7.0/7.5/8.0:
Microsoft uruchomił moduł do przepisywania URL, który może filtrować adres URL żądania, który trzeba zainstalować samodzielnie, a poniżej znajduje się adres do pobrania narzędzia:
Adres pobrania Microsoft (64-bitowy): Logowanie do linku jest widoczne. Adres pobrania Microsoft (32 bity): Logowanie do linku jest widoczne.
Po zakończeniu pobrania kliknij dwukrotnie program i kliknij Dalej, aby zainstalować.
Następnie zrestartuj narzędzie do zarządzania IIS i zobaczysz, że pod paskiem IIS jest narzędzie do przepisywania URL.
Kliknij dwukrotnie funkcję przepisywania adresu URL i dodaj regułę na pasku zasad adresowych URL.
Wybierz blokowanie żądań.
Sprawdź poniższy rysunek, aby skonfigurować reguły, wpisz nazwę domeny lub IP strony internetowej w nagłówku hosta, a następnie kliknij OK.
Kliknij dwukrotnie regułę, którą właśnie stworzyłeś.
Wybierz "Nie dopasuj wzorca" w wyborze URL żądania, wybierz "Complete match" w pozycji użytkowania, wybierz "Abort request" w typie akcji i kliknij przycisk Apply w prawym górnym rogu.
Następnie zrestartuj stronę, a ponowne testy pokażą, że jeśli host nie jest 192.168.124.149, serwer przerwie żądanie, co działa jako środek ostrożności wobec nagłówka hosta.
Przedruk z:Logowanie do linku jest widoczne.
| 
Opublikowano 2021-6-4 11:14:02
|
|
|
|
