【安全资讯】别让 SSL 证书暴露了你的网站服务器 IP

最新推荐文章于 2024-10-07 01:36:35 发布
最新推荐文章于 2024-10-07 01:36:35 发布
阅读量316 收藏 2
点赞数
分类专栏: 安全资讯 文章标签: Nginx SSL证书 IP暴露 安全配置 CDN
原文链接:https://mp.weixin.qq.com/s/tQpBvsgcQpF1gwtQ65K4oQ
版权

在这里插入图片描述

我们通常会用cdn套到服务器ip上,来为网站或者后端程序做加速、防御。可是nginx在设计上有个小缺陷,会因为ssl证书泄露网站的原IP

原 理

用Nginx部署网站,在默认或不正确的配置下,网站开启ssl,直接访问ip的443端口,即ip:443,Nginx会返回默认一个站点的ssl证书,间接的能让别人扫到这个ip对应的域名。

原理就是对ip的443端口发送clienthello,对方回复的 serverhello中有ssl证书,ssl证书里的common name 有域名信息。这样就知道了解析这个ip的域名。所以更准确的说是IP的443端口可能会暴露了域名。

动作再大一点,批量扫描机房的ip段,把对应的域名-ip 的多值映射表统计起来。以后想查某个域名对应的源站 ip 查这个表就够了,这是黑产喜欢干的事。

同时也是很多站点,明明套上了cdn,依然能被打到源站IP的原因。

解决办法

# 禁止IP直接访问网站 
server { 
      listen       80 default_server; 
      listen       [::]:80 default_server; 
      server_name  _; 
      return 444; 
}

自签IP的SSL证书,返回444

自签证书的目的不是为了访问,而是避开Nginx的这个缺陷。生成自签的IP SSL证书可以用开源的Mkcert(https://myssl.com/create_test_cert.html)工具。Mkcert使用起来稍微麻烦,或者用一个测试证书的在线网页工具:https://myssl.com/create_test_cert.html

在这里插入图片描述

在填写域名的位置填上IP地址,点生成按钮会自动测试证书展示在下面,各自保存为.pem文件和.key文件。然后在nginx里配置上“return 444”,类似配置大概:

{ 
listen 80 ; 
listen 443 ssl http2 default_server; 
server_name ip; 
 
  #HTTP_TO_HTTPS_END 
    ssl_certificate    xxxx.pem; 
    ssl_certificate_key   xxxx.pem; 
    ssl_protocols TLSv1.1 TLSv1.2 TLSv1.3; 
 
return 444; 
 
}

购买合法IP站点的SSL证书

花点小钱买个合法的IP SSL证书配置到nginx里,IP证书一般一二百左右。加钱,世界触手可及。

仅允许指定cdn的IP访问

Nginx仅允许指定cdn的IP访问,避免放到公网上被任何人扫。以腾讯云CDN段为例,在Nginx网站配置文件里,添加如下:

location / { 
allow   58.250.143.0/24; 
allow   58.251.121.0/24; 
allow   59.36.120.0/24; 
allow   61.151.163.0/24; 
allow   101.227.163.0/24; 
allow   111.161.109.0/24; 
allow   116.128.128.0/24; 
allow   123.151.76.0/24; 
allow   125.39.46.0/24; 
allow   140.207.120.0/24; 
allow   180.163.22.0/24; 
allow   183.3.254.0/24; 
allow   223.166.151.0/24; 
  deny    all; 
}

查一下使用的CDN商家的文档,如果有新的IP段更新,也加到里面。

在这里插入图片描述

「已注销」
关注
专栏目录
隐藏服务器 IP 很重要,但封堵泄露服务器 IP 的环节更重要
草根博客站长明月登楼的CSDN博客
05-23 719
保护服务器真实 IP 不泄露是个要长期要坚持的运维工作,今天给大家分享的都是明月目前已知的 WordPress 、Typecho 这类博客网站系统会造成泄露服务器真实 IP 的风险环节,修复这些漏洞也相对很简单,只要照着给出的解决办法做就行。另外要给大家强调的是一定要养成及时更新 WordPress 、Typecho 到最新版本的习惯以及插件、主题更新的习惯,这样只要有了 CDN 在外层的保护,你的服务器以及网站就会安然无忧,再结合明月一直推崇的 CloudFlare 加持,那几乎就是一个免费的 DDos/
安全与加密常识(5)自签名证书
二进制君
06-27 1233
自签名证书是由不受信的CA机构颁发的数字证书,也就是自己签发的证书。与受信任的CA签发的传统数字证书不同,自签名证书是由一些公司或软件开发商创建、颁发和签名的。虽然自签名证书使用的是与X.509证书相同的加密密钥对架构,但是却缺少受信任第三方的验证。在颁发过程中缺乏独立验证会产生额外的风险,这就是为什么对于面向公众的网站和应用程序来说,自签名证书是不安全的。
别让SSL证书暴露了你的网站服务器IP
Free雅轩的博客
04-19 961
我们通常会用cdn套到服务器ip上,来为网站或者后端程序做加速、防御。可是nginx在设计上有个小缺陷,会因为ssl证书泄露网站的原IP 原理 用Nginx部署网站,在默认或不正确的配置下,网站开启ssl,直接访问ip的443端口,即ip:443,Nginx会返回默认一个站点的ssl证书,间接的能让别人扫到这个ip对应的域名。 原理就是对ip的443端口发送clienthello,对方回复的 serverhello中有ssl证书ssl证书里的common name 有域名信息。这样就知道了解析
中文地址转英文地址网站_SSL证书可能让你网站IP地址暴露
weixin_39532019的博客
11-16 1482
最近从网站的攻防战中学到了不少东西,还结识了一个专门做网站防护的同县城老乡,给了我不少的信心。这几天网站能够保证一定时长的访问,能够让我更新2-3篇文章不受阻碍,主要也是我这位老乡的功劳真的。今天我网站的Cc攻击量达到了200万的并发,算是达到了一个空前的高度,不过,我是一点也不慌,趁着周末去打了一场球。晚上回来,洗洗手,吃了饭,这不又开始给大家分享经验了。今天分享的一个经验:你装在ng...
个人数据泄露日趋严重,SSL证书如何保护信息安全
SSL加密技术
01-02 787
随着移动互联网时代的高速发展,似乎每周我们都能看到大量有关数据泄露的新闻,报道还在源源不断地涌现。根据2018年11月28日发布的《100款App个人信息收集与隐私政策测评报告》中的数据显示,在统计的100款app中,有多达91款的App存在过度收集用户个人信息的行为。 为改善此现象,网信办等四部门联合印发《App违法违规收集使用个人信息行为认定方法》。办法系为监督管理部门认定App违法违规收集...
SSL/TLS协议信息泄露漏洞(CVE-2016-2183)【原理扫描】
冰恋云的专栏
05-21 5967
2.2 漏洞详情解决方案:上面已经提到了,服务器是linux系统。
http过代理和忽略ssl证书
11-19
本文将深入探讨“HTTP过代理和忽略SSL证书”这一主题,帮助你解决对接网站突然由HTTP改为HTTPS以及服务器增加代理的问题。 首先,HTTP(超文本传输协议)是互联网上应用最广泛的一种数据传输协议,用于从万维网...
29-SSL安全问题及漏洞1
08-03
SSL(Secure Socket Layer)安全协议是互联网上保护通信安全的重要工具,它的主要目的是为了确保数据在传输过程中不被窃取,同时验证服务器和用户的身份。SSL位于TCP/IP协议栈和应用层协议之间,由Netscape公司开发...
获取网站CDN加速的真实服务器IP方法
网站安全资讯
01-06 1791
在新年之季,我们SINESAFE在给客户做网站渗透测试服务的时候经常遇到一些网站域名用了CDN节点加速,导致找不到网站的真实IP,目前大部分都是用的百度云加速,阿里云...
SSL TLS安全评估报告 | 谷歌(Chrome)浏览器插件
03-03
【插件简介】 MySSL的Chrome插件,是一款用来检测页面内部链接了哪些域名的检测工具,通过插件可以查看该网页内部链接了的域名的评级、签发者、过期时间及IP地址信息,同时可以点击任意一条内部链接去详细查看该域名的SSL-TLS部署情况。 【插件网站】 https://myssl.com 【插件更新】 2019-11-28 14:45:52 【插件版本】 2.4.2 【插件标签】 安全 Chrome插件 【插件安装教程】 请下载文件后先解压,然后进入页面: chrome://extensions/ 将文件拖拽到该页面,完成安装。 具体步骤: https://t.csdnimg.cn/NxMv 【热门插件】 ·CSDN 浏览器助手: https://plugin.csdn.net/
SSL/TLS协议信息泄露漏洞(CVE-2016-2183)【原理扫描】处理
热门推荐
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
12-30 22万+
概述 SSL/TLS协议信息泄露漏洞(CVE-2016-2183)漏洞: TLS, SSH, IPSec协商及其他产品中使用的DES及Triple DES密码存在大约四十亿块的生日界,这可使远程攻击者通过Sweet32攻击,获取纯文本数据。 风险级别:低 该漏洞又称为SWEET32(https://sweet32.info)是对较旧的分组密码算法的攻击,它使用64位的块大小,缓解SWEET32攻击OpenSSL 1.0.1和OpenSSL 1.0.2中基于DES密码套件从“高”密码字符串组移至“中”;但Op
https加固,https://ip暴露后端IP
weixin_30737433的博客
06-14 634
增加server配置server { listen 443 default_server; server_name _ ; ssl on; ssl_certificate test.crt 随便设置一个ssl证书; ssl_certificate_key test.key 随便设置一个s...
宝塔禁止直接用IP访问与防止SSL泄露IP
m0_61879882的博客
04-13 3875
使用CDN后,宝塔Nginx配置只允许域名访问 禁止直接IP访问 防止SSL泄露IP 返回ERR_EMPTY_RESPONS
SSL证书被攻击、被假冒的风险分析(一)
u012329294的专栏
09-12 2559
SSL证书被攻击、被假冒的风险分析(一)                                                                         文/龙毅宏   下面就针对可能出现的对SSL证书的攻击、假冒情形进行分析。   1)一个合法有效的SSL证书误签发给了假冒者   这是一种由于证书认证机构工作出现疏忽、流程不完善而出现的证书被错误签
SSL/TLS协议信息泄露漏洞(CVE-2016-2183)
violentcloud的博客
12-29 1万+
标签:TLS bin include openssl 2183 so.1 usr 2016 local #记录一次升级Openssl的过程(后附个人遇到的困难与解决方法) 1、centos上直接升级: openssl version -a //确认当前版本,备份证书文件和秘钥文件 cp -r /usr/bin/openssl /usr/bin/openssl_bak 【备份也可以不做】 cp -r /usr/include/openssl /usr/include/openssl_bak【备份也可以不做】
task【XTuner微调个人小助手认知】
最新发布
m0_53291740的博客
10-07 787
下面我们将根据项目的需求一步步的进行修改和调整吧!在 PART 1 的部分,由于我们不再需要在 HuggingFace 上自动下载模型,因此我们先要更换模型的路径以及数据集的路径为我们本地的路径。为了训练过程中能够实时观察到模型的变化情况,XTuner 贴心的推出了一个。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值