prefață
Dacă /lipsește din calea de acces când vizitezi un site, majoritatea middleware-urilor vor completa automat calea și vor returna 302 sau 301 salturi la figura de mai jos, iar numele de domeniu al locației Locație va folosi valoarea antetului Host.
Această situație este de fapt mai puțin riscantă și dificil de generat un atac de cap al gazdelor. Totuși, deoarece majoritatea scanerelor de vulnerabilități vor detecta această situație ca un atac frontal al gazdei, majoritatea Părții A vor necesita ca vulnerabilitatea să fie remediată și problema complet rezolvată pentru a trece inspecția de nivel superior sau diverse audituri.
Calea de salt nu este definită de proiectul web, ci este automat sărită de middleware, astfel încât nu poate fi remediată scriind variabile statice, iar filtrul global din proiectul web nu poate fi blocat. Trebuie configurat la nivelul serverului web pentru a o rezolva. Iată câteva remedieri comune pentru referințe de server, iar dacă există erori sau neajunsuri, vă rugăm să le corectați.
Apache:
Metoda 1: Modifică fișierul \conf\httpd.conf
De exemplu, modifică ServerName în numele domeniului aplicației
Adaugă următoarele rânduri:
Doar repornește Apache.
Dacă soluția are succes, vei vedea că partea de server va folosi setul ServerName.
Explicația parametrului:
Metoda 2:
Modifică fișierul confhttpd.conf
Consultați următoarea configurație pentru a adăuga:
Doar repornește Apache.
Funcție:
Refuzați orice cerere de acces direct prin adresa IP 192.168.0.16, iar dacă folosiți 192.168.0.16 pentru acces, vi se va cere să refuzați accesul. Doar trecerea este permisăAutentificarea cu hyperlink este vizibilă.Acest acces la nume de domeniu, directorul principal indică către C:www
Metoda 3:
Modifică fișierul confhttpd.conf
Găsește "#LoadModule rewrite_module modules/mod_rewrite.so" și șterge semnul "#" din fața lui Adaugă o configurație ca următoarea:
Doar repornește Apache.
Funcție:
Când antetul HOST nu este 192.168.0.16, redirecționează către pagina de eroare.
Nginx:
Metoda 1:
Modifică nginx.conf
Adaugă un server implicit, când antetul gazdei este modificat să corespundă serverului, acesta va sări la serverul implicit, iar serverul implicit va returna direct o eroare 403.
Exemple includ:
Pur și simplu reîncepe nginx.
Metoda 2:
Modifică nginx.conf
Pentru a adăuga o regulă de detecție serverului țintă, consultați următoarea configurație roșie: Pur și simplu reîncepe nginx.
Tomcat:
Modificări tomcatconfserver.xml
Găsește următoarea locație:
Schimbă numele din Host într-un nume de domeniu static astfel:
Repornește Tomcat pentru a finaliza reparația.
IIS6.0:
Folosește ISAPI_Rewrite plugin pentru a detecta conținutul pachetului de cerere și a rescrie URL-ul.
Pachetul de instalare a plugin-ului și adresa de descărcare a uneltei crack:Autentificarea cu hyperlink este vizibilă.
După ce descărcarea este finalizată, faceți dublu clic pe program și apasă pe Următorul pentru a instala.
După ce unealta de crăpare este desfăcută, cele trei fișiere sunt afișate în figură
Copiază și lipește cele trei fișiere spart direct în directorul de instalare al ISAPI_Rewrite, adică suprascrie fișierul original oficial; dacă promptul nu poate fi suprascris, poți mai întâi redenumi cele trei fișiere oficiale în alte nume, apoi să copiezi cele trei fișiere sparte.
Odată ce înlocuirea este finalizată, trebuie să adăugați un grup de utilizatori SERVICE pentru ISAPI_Rewrite.dll și să acordați permisiuni de citire, citire și execuție. (Acest pas este foarte important, altfel ISAPI_Rewrite ulterioare nu vor funcționa).
Deschide Instrumentul de Administrare IIS, selectează proiectul țintă - > Proprietăți - > Filtre ISAPI - > Adaugă - > Selectează calea fișierului ISAPI_Rewrite.dll pe care l-ai instalat - > OK
Repornește IIS și redeschide instrumentul de management IIS, poți vedea noua etichetă ISAPI_Rewrite în proprietatea proiect-> țintă, unde poți scrie direct reguli .htaccess pentru a redirecționa în funcție de nevoile tale.
Pentru a configura lista albă a antetului gazdei, puteți consulta următoarele reguli.
După finalizarea configurării, dacă câmpul Host din pachetul de solicitare nu este setat la 192.168.2.141, pagina de eroare va fi sărită automat.
IIS7.0/7.5/8.0:
Microsoft a lansat un modul de rescriere a URL-urilor care poate filtra URL-ul de cerere, care trebuie instalat de tine, iar următoarea este adresa de descărcare a instrumentului:
Adresa de descărcare Microsoft (64 de biți): Autentificarea cu hyperlink este vizibilă. Adresa de descărcare Microsoft (32 biți): Autentificarea cu hyperlink este vizibilă.
După ce descărcarea este finalizată, faceți dublu clic pe program și apasă pe Următorul pentru a instala.
Apoi repornește instrumentul de management IIS și poți vedea că există un instrument de rescriere a URL-urilor sub bara IIS.
Faceți dublu clic pe funcția de rescriere a URL-ului și adăugați o regulă pe bara de reguli de intrare a adresei URL-ului.
Selectează Blocarea cererii.
Consultați figura de mai jos pentru a configura regulile, completați numele de domeniu sau IP-ul site-ului în antetul gazdei și apoi faceți clic pe OK.
Dă dublu click pe regula pe care tocmai ai creat-o.
Selectează "Nu potrivește tiparul" în selecția URL a cererii, selectează "Completează potrivirea" în elementul de utilizare, selectează "Anulează cererea" în tipul acțiunii și apasă butonul Aplică din colțul din dreapta sus.
Apoi repornește site-ul, moment în care retestarea va arăta că atunci când gazda nu este 192.168.124.149, serverul va anula cererea, acționând astfel ca o măsură de precauție împotriva antetului gazdei.
Reprodus din:Autentificarea cu hyperlink este vizibilă.
| 
Postat la 2021-6-4 11:14:02
|
|
|
|
