predgovor
Če /ni na dostopni poti pri obisku spletne strani, večina vmesne programske opreme samodejno zaključi pot in vrne 302 ali 301 skokov na spodnjo sliko, domena lokacije pa uporabi vrednost glave gostitelja.
Ta situacija je pravzaprav manj tvegana in težka za napad z glavo gostitelja. Vendar pa, ker večina skenerjev ranljivosti to situacijo zazna kot napad na glavo gostitelja, bo večina Strani A zahtevala, da se ranljivost odpravi in problem popolnoma reši, da prestane višji pregled ali različne revizije.
Skakalna pot ni določena s strani spletnega projekta, ampak jo samodejno preskoči vmesna programska oprema, zato je ni mogoče popraviti s pisanjem statičnih spremenljivk, globalni filter v spletnem projektu pa ni mogoče blokirati. To je treba konfigurirati na ravni spletnega strežnika, da se to popravi. Tukaj je nekaj pogostih popravkov strežniških referenc, in če obstajajo kakšne napake ali pomanjkljivosti, jih lahko brez zadržkov popravite.
Apache:
Metoda 1: Spremenite datoteko \conf\httpd.conf
Na primer, spremenite ime strežnika v domeno aplikacije
Dodaj naslednje vrstice:
Samo ponovno zaženi Apache.
Če je popravek uspešen, boste videli, da bo strežniška stran uporabila nastavljeno ime strežnika.
Razlaga parametrov:
Metoda 2:
Spremenite datoteko confhttpd.conf
Za dodajanje glejte naslednjo konfiguracijo:
Samo ponovno zaženi Apache.
Funkcija:
Zavrnitev zahtevkov za dostop neposredno prek IP naslova 192.168.0.16, in če uporabite 192.168.0.16 za dostop, boste pozvani, da dostop zavrnete. Dovoljen je le prehodPrijava do hiperpovezave je vidna.Ta dostop do domene, glavni imenik, kaže na C:www
Metoda 3:
Spremenite datoteko confhttpd.conf
Poišči "#LoadModule rewrite_module modules/mod_rewrite.so" in odstrani znak "#" pred njim Dodajte konfiguracijo, kot je naslednja:
Samo ponovno zaženi Apache.
Funkcija:
Ko glava HOST ni 192.168.0.16, preusmeri na stran z napako.
Nginx:
Metoda 1:
Spremeni nginx.conf
Če dodamo privzeti strežnik, ko se glava gostitelja spremeni, da ustreza strežniku, skoči na privzeti strežnik, privzeti strežnik pa neposredno vrne napako 403.
Primeri vključujejo:
Samo ponovno zaženi nginx.
Metoda 2:
Spremeni nginx.conf
Za dodajanje pravila zaznavanja ciljnemu strežniku glejte naslednjo rdečo konfiguracijo: Samo ponovno zaženi nginx.
Tomcat:
Modifikacija tomcatconfserver.xml
Poiščite naslednjo lokacijo:
Spremenite ime v Host v statično domeno na naslednji način:
Ponovno zaženi Tomcat, da dokončaš popravilo.
IIS6.0:
Uporabite ISAPI_Rewrite vtičnik za zaznavanje vsebine paketa zahtev in ponovno napiši URL.
Namestitveni paket vtičnikov in naslov za prenos orodij za razbijanje:Prijava do hiperpovezave je vidna.
Ko je prenos končan, dvakrat kliknite program in kliknite Naprej za namestitev.
Ko orodje za razpokanje odprete, so na sliki prikazane tri pilice
Kopirajte in prilepite tri razbite datoteke neposredno v namestitveni imenik ISAPI_Rewrite, torej prepišite uradno izvirno datoteko; če poziva ni mogoče prepisati, lahko najprej preimenujete uradne tri datoteke v druga imena, nato pa kopirate tri razbite datoteke.
Ko je zamenjava končana, morate dodati uporabniško skupino SERVICE za ISAPI_Rewrite.dll in podeliti dovoljenja za branje, branje in zagon. (Ta korak je zelo pomemben, sicer naslednji ISAPI_Rewrite ne bodo delovali).
Odpri orodje za upravljanje IIS, izberi ciljni projekt - > Lastnosti - > ISAPI filtri - > Dodaj - > Izberi pot do ISAPI_Rewrite.dll datoteke, ki si jo namestil - > V redu
Ponovno zaženi IIS in ponovno odpri orodje za upravljanje IIS, novo oznako ISAPI_Rewrite vidiš v ciljni lastnosti projekt->, kjer lahko neposredno napišeš .htaccess pravila za preusmerjanje glede na svoje potrebe.
Za nastavitev bele liste glave gostitelja se lahko sklicujete na naslednja pravila.
Ko je konfiguracija zaključena, če polje Host v paketu zahteva ni nastavljeno na 192.168.2.141, se bo stran z napako samodejno preskočila.
IIS7.0/7.5/8.0:
Microsoft je predstavil modul za prepisovanje URL-jev, ki lahko filtrira URL-je za zahtevo, ki ga morate namestiti sami, spodaj pa je naslov za prenos orodja:
Microsoftov naslov za prenos (64-bitni): Prijava do hiperpovezave je vidna. Microsoftov naslov za prenos (32 bitov): Prijava do hiperpovezave je vidna.
Ko je prenos končan, dvakrat kliknite program in kliknite Naprej za namestitev.
Nato ponovno zaženi orodje za upravljanje IIS in vidiš, da je pod vrstico IIS orodje za prepisovanje URL-jev.
Dvakrat kliknite funkcijo prepisovanja URL-jev in dodajte pravilo na vhodno vrstico URL-jevega naslova.
Izberite blokiranje zahtev.
Za nastavitev pravil si oglejte spodnjo sliko, vnesite ime domene ali IP spletne strani v glavo gostitelja in nato kliknite OK.
Dvakrat kliknite pravilo, ki ste ga pravkar ustvarili.
Izberite "Ne ujemaj vzorca" v izbiri URL-ja zahteve, izberite "Popolno ujemanje" v elementu uporabe, izberite "Prekini zahtevo" v vrsti dejanja in kliknite gumb Uporabi v zgornjem desnem kotu.
Nato ponovno zaženi spletno stran, pri čemer bo ponovno testiranje pokazalo, da če gostitelj ni na 192.168.124.149, strežnik prekini zahtevo, s čimer deluje kot previdnostni ukrep proti glavi gostitelja.
Ponatisnjeno iz:Prijava do hiperpovezave je vidna.
| 
Objavljeno 4. 6. 2021 ob 11:14:02
|
|
|
|
