prefácio
Se /estiver ausente no caminho de acesso ao visitar um site, a maioria dos middlewares completará automaticamente o caminho e retornará 302 ou 301 saltos para a figura abaixo, e o nome de domínio da localização usará o valor do cabeçalho Host.
Essa situação é na verdade menos arriscada e difícil de causar um ataque de cabeça para os anfitriões. No entanto, como a maioria dos scanners de vulnerabilidades detecta essa situação como um ataque headattack do host, a maioria da Parte A exigirá que a vulnerabilidade seja corrigida e o problema completamente resolvido para passar na inspeção de nível superior ou em várias auditorias.
O caminho de salto não é definido pelo projeto web, mas é automaticamente saltado pelo middleware, então não pode ser corrigido escrevendo variáveis estáticas, e o filtro global no projeto web não pode ser bloqueado. Precisa ser configurado no nível do servidor web para corrigir. Aqui estão algumas correções comuns de referência de servidores, e se houver algum erro ou deficiência, sinta-se à vontade para corrigi-los.
Apache:
Método 1: Modificar o arquivo \conf\httpd.conf
Modificar o Nome do Servidor para o nome de domínio da aplicação, por exemplo
Adicione as seguintes linhas:
É só reiniciar o Apache.
Se a correção for bem-sucedida, você verá que o lado do servidor usará o conjunto NomeServidor.
Explicação do Parâmetro:
Método 2:
Modificar o arquivo confhttpd.conf
Consulte a seguinte configuração para adicionar:
É só reiniciar o Apache.
Função:
Nege qualquer solicitação de acesso diretamente pelo endereço IP 192.168.0.16, e se você usar 192.168.0.16 para acessar, será solicitado a negar acesso. Apenas passagem é permitidaO login do hiperlink está visível.Esse acesso ao nome de domínio, o diretório principal aponta para C:www
Método 3:
Modificar o arquivo confhttpd.conf
Encontre "#LoadModule rewrite_module modules/mod_rewrite.so" e remova o símbolo "#" na frente dele Adicione uma configuração como a seguinte:
É só reiniciar o Apache.
Função:
Quando o cabeçalho HOST não é 192.168.0.16, ele redireciona para a página de erro.
Nginx:
Método 1:
Modificar nginx.conf
Adicione um servidor padrão, quando o cabeçalho do host for modificado para corresponder ao servidor, ele pulará para o servidor padrão, e o servidor padrão retornará diretamente um erro 403.
Exemplos incluem:
Apenas reinicie o nginx.
Método 2:
Modificar nginx.conf
Para adicionar uma regra de detecção ao servidor de destino, consulte a seguinte configuração vermelha: Apenas reinicie o nginx.
Tomcat:
Modificação tomcatconfserver.xml
Encontre o seguinte local:
Mude o nome no Host para um nome de domínio estático da seguinte forma:
Reinicie o Tomcat para concluir o reparo.
IIS6.0:
Use ISAPI_Rewrite plugin para detectar o conteúdo do pacote de solicitação e reescrever a URL.
Pacote de instalação de plugins e endereço para download da ferramenta de crack:O login do hiperlink está visível.
Após o download terminar, clique duas vezes no programa e clique em Próximo para instalar.
Após a ferramenta de trincar ser descompactada, os três arquivos são mostrados na figura
Copie e cole os três arquivos quebrados diretamente no diretório de instalação do ISAPI_Rewrite, ou seja, sobrescreva o arquivo original oficial; se o prompt não puder ser sobrescrevido, você pode primeiro renomear os três arquivos oficiais para outros nomes e depois copiar os três arquivos quebrados.
Uma vez concluída a substituição, você deve adicionar um grupo de usuários SERVICE para o ISAPI_Rewrite.dll e conceder permissões de leitura, leitura e execução. (Essa etapa é muito importante, caso contrário ISAPI_Rewrite subsequentes não funcionariam).
Abra a Ferramenta de Administração IIS, selecione o projeto alvo - Propriedades > - > Filtros ISAPI - > Adicionar - > Selecionar o caminho do arquivo ISAPI_Rewrite.dll que você instalou - > OK
Reinicie o IIS e reabra a ferramenta de gerenciamento do IIS, você pode ver a nova tag ISAPI_Rewrite na propriedade projeto-> alvo, onde pode escrever diretamente regras .htaccess para redirecionar conforme suas necessidades.
Para configurar a lista branca de cabeçalhos do host, você pode consultar as seguintes regras.
Após a conclusão da configuração, se o campo Host no pacote de solicitação não estiver configurado para 192.168.2.141, a página de erro será automaticamente saltada.
IIS7.0/7.5/8.0:
A Microsoft lançou uma ferramenta de módulo de reescrita de URLs que pode filtrar a URL da solicitação, que precisa ser instalada por você, e a seguir está o endereço de download da ferramenta:
Endereço de download da Microsoft (64 bits): O login do hiperlink está visível. Endereço de download da Microsoft (32 bits): O login do hiperlink está visível.
Após o download terminar, clique duas vezes no programa e clique em Próximo para instalar.
Depois, reinicie a ferramenta de gerenciamento do IIS, e você verá que há uma ferramenta de reescrita de URLs na barra do IIS.
Clique duas vezes na função de reescrita de URL e adicione uma regra na barra de regras de entrada do endereço da URL.
Selecione Bloqueio de Solicitações.
Consulte a figura abaixo para configurar as regras, preencha o nome de domínio ou IP do site no cabeçalho do host e então clique em OK.
Clique duas vezes na regra que você acabou de criar.
Selecione "Não corresponder padrão" na seleção de URL da solicitação, selecione "Completar correspondência" no item de uso, selecione "Abortar solicitação" no tipo de ação e clique no botão Aplicar no canto superior direito.
Depois, reinicie o site, e o reteste mostrará que, quando o host não for 192.168.124.149, o servidor abortará a solicitação, atuando assim como precaução contra o cabeçalho do host.
Reimpresso de:O login do hiperlink está visível.
| 
Postado em 2021-6-4 11:14:02
|
|
|
|
