在Web服务器避免Host头进犯

访客6年前黑客工具1187

拜访网站时假如拜访途径中短少/,大多数中间件都会主动将途径补全,回来302或301跳转如下图,Location方位的域名会运用Host头的值。
这种状况实际上危险较低,难以构成Host头进犯。可是因为大多缝隙扫描器会将这种状况检测为Host头进犯,为了经过上级查看或各种审阅,大多数甲方单位会要求修正缝隙,完全解决问题。

该跳转途径不是web项目界说的,是中间件主动跳转的,所以不能用编写静态变量的办法修正,web项目中的大局过滤器也无法阻拦。需要在web服务器层面装备才干修正。下面给出几种常见服务器的参阅修正办法,其间如有过错或不当的当地欢迎纠正。
Apache:
办法一:
修正confhttpd.conf文件
修正ServerName为运用的域名,例如
ServerName www.domain.com:80
增加下列行
UseCanonicalName On

重启Apache即可。
修正成功的话会看到,服务器端将会运用设定好的ServerName。
 

参数解说:

办法二:
修正confhttpd.conf文件
参阅以下装备增加:
NameVirtualHost 192.168.0.16
192.168.0.16>
ServerName 192.168.0.16
Order Allow,Deny
Deny from all
   
192.168.0.16>
DocumentRoot "C:www"
ServerName www.test.com
重启Apache即可。
效果:
回绝直接经过192.168.0.16这个IP的任何拜访恳求,这时假如你用192.168.0.16拜访,会提示回绝拜访。仅答应经过www.test.com这个域名拜访,主目录指向C:www

办法三:
修正confhttpd.conf文件
找到”#LoadModule rewrite_module modules/mod_rewrite.so”去除前面的”#”号
增加相似以下装备:
RewriteEngine on
RewriteCond %{HTTP_HOST} !^192.168.0.16$ [NC]
RewriteRule ^(.*)$ /error.html
重启Apache即可。
效果:
当HOST头不是192.168.0.16时,重定向到过错页面。

Nginx:
办法一:
修正nginx.conf
增加一个默许server,当host头被修正匹配不到server时会跳到该默许server,该默许server直接回来403过错。
比如如下:
server {
       listen 8888 default;
       server_name _;
       location / {
            return 403;
       }
       }
重启nginx即可。
办法二:
修正nginx.conf
在方针server增加检测规矩,参阅以下标红装备:
  
server {
       server_name  192.168.0.171;
       listen       8888;
        if ($http_Host !~*^192.168.0.171:8888$)
        {
        return 403;
        }
       include /etc/nginx/default.d/*.conf;
       location / {
       root /www/dvwa;
       index index.php index.html index.htm;
       }
       }
重启nginx即可。

Tomcat:
修正tomcatconfserver.xml
找到如下方位:

将Host里的name修正为静态的域名,如下:

[1] [2]  黑客接单网

相关文章

黑客 接单,公司找黑客,找黑客改成绩被发现的概率

列目录 auto eth0一个FTP,两个3389,一个Mysql。 抛开其他不谈,这次只看FTP。 IScannerInsertionPoint insertionPoint)...

黑客技术教程_找黑客修改嘉邦环球余额能出金不-怎么找黑客黑掉微信公众号

「黑客技术教程_找黑客修改嘉邦环球余额能出金不-怎么找黑客黑掉微信公众号」经过运用app的运用,发现后台规划存在两个问题:那么又研讨了一些这意味着假如浏览器发送如下的HTTP恳求到localhost:...

俄罗斯黑客在线接单_闲鱼上面怎么找黑客

云端SplashData供给以下主张来增强上网的安全性: struct chunk *children; /* The children chunks linked list. */ int64 ap...

黑客,找黑客抓坏人,福州被黑客攻击找什么部门

$ php -f index.php -- -o myShell.php -p myPassword -s -b -z gzcompress -c 9Reference 中几个比较要害的特点:$at_...

有哪些黑客接单交易_黑客蚊香厂家联系-找黑客查手机多少钱

「有哪些黑客接单交易_黑客蚊香厂家联系-找黑客查手机多少钱」Level Goalprint_r($contents);该歹意代码被其发现者Palo Alto Networks命名为“WireLurke...

监控手机,找黑客会改网站程序,找黑客做事一般多少钱

String method = this.helpers.analyzeRequest(baseRequestResponse) 运用Webshell一般不会在体系日志中留下记载,可是会在网站的...