Nginx中白名单域设置(解决Host注入问题)

于 2024-09-12 15:50:44 发布
阅读量627 收藏 5
点赞数 17
文章标签: nginx 数据库 服务器 Host http 安全
阿弥陀佛 欢迎流通 功德无量
本文链接:https://blog.csdn.net/fxtxz2/article/details/142178106
版权

问题

最近渗透测试,测出了一个host头攻击中危问题。

解决

通过设置nginx域名白名单解决,具体配置如下:

http {
	# 隐藏版本号
	server_tokens off;
    server {
        listen 900342;
        server_name www.xxxx.com;
        ...
    }
    
    server {
        listen 900342;
        server_name www.cccc.com;
        ...
    }
    
    # 显示的定义一个 default server
    server {
        listen 900342 default_server;
        server_name _;
        return 444;
    }
    
}

这里的意思是如果请求头Host里面的数据,没有匹配上www.xxxx.com和www.cccc.com,则默认返回444.
nginx还有个版本号暴露问题,顺手解决一下。

总结

nginx这个Host注入攻击,还是比较容易解决的。

参考

亚林瓜子
关注
技术干货实战(4)- 分布式集群部署模式下Nginx如何实现用户登录Session共享(含详细配置与代码实战)
青松之竹_Java博客
12-11 458
最近有小伙伴催更,让debug多写点技术干货,以便多学习、巩固一些技能;没办法,debug也只好应承下来,再忙也要挤出时间撸一撸,以对得起时常关注debug的那些看官老爷们! 本文将重点介绍:Nginx如何进行配置从而实现用户登录成功后Session共享的功能,其我们将以“企业权限管理平台”为例,加入Redis最终真正实现Session共享的效果(真正的代码落地哈!)
Nginxhost攻击漏洞
ImSanJin的博客
08-26 3751
URL存在http host攻击漏洞。 http协议host值经常被使用于jsp获取上下文,如果不做验证,很容易被引用其他途径的资源。 cmd运行,curl去官网下载解压就能用(你想全局用,就设置环境变量吧,这个博文也很多) curl -i "www.baidu.com" -v -H "Host:www.baidu2.com"| more 通过-H参数,修改http...
Nginx解决Host注入
计算机辅助工程
03-10 1489
#未作修改的nginx配置,此配置会产生Host注入问题 upstream web { server 192.168.52.22:9092; server 192.168.52.23:9093; } server { listen 8082; server_name 192.168.52.22; location / { proxy_set_header Host $http_host;
nginx + confd + etcd 实现nginx动态白名单,防止请求host篡改注入攻击
不靠谱助手的博客
05-24 780
nginx + confd + etcd 实现nginx动态白名单,防止请求host篡改注入攻击
nginx host攻击漏洞
zzf9347的博客
09-18 1630
有些网站的代码配置为,通过请求的host拼接路径来形成访问的url,这时候攻击者会发送一个异常的host,如果服务端没有进行host识别判断的话,同意了这个请求,攻击者就会通过这个异常的host拼接路径来制造陷阱,非法劫持网站的一些信息,以及上传病毒代码或文件,甚至是取得整个网站或者服务器的控制权限,这就是host攻击。客户端在发起请求时,会发送一个host服务器服务器会根据客户端发送的host识别要请求的页面或者转发的后端服务器,以此返回请求的内容。
配置Nginx解决http host攻击漏洞【详细步骤】
虽千万人,吾往矣
12-12 1万+
安全系统渗透测试出host攻击漏洞,下面是解决步骤。
Nginx屏蔽部攻击
qq_44637753的博客
04-01 9053
Nginx屏蔽部攻击 多IP 简单配置nginx.conf server { listen 80; server_name name1 name2; ##name可以为名或者ip if ($http_Host !~* ^name1|name2$) ##name1和name2之间 连接符“|”无任何空格,有空格报错,如果是单名(ip)省略“|name2”格式为“$http_Host !~* ^name1$” {
超详细http host注入攻击原理详解及漏洞利用
madao1o_o的博客
07-22 8558
01 漏洞描述 《HTTP | HTTP报文》最后一节,简单的介绍了一下首部字段,其就包含了Host首部字段。 为了方便获取网站名,开发人员一般依赖于请求包Host首部字段。例如,在php里用_SERVER[“HTTP_HOST”]。但是这个Host字段值是不可信赖的(可通过HTTP代理工具篡改),如果应用程序没有对Host字段值进行处理,就有可能造成恶意代码的传入。 02 漏洞知识拓展 Host首部字段是HTTP/1.1新增的,旨在告诉服务器,客户端请求的主机名和端口号,主要用来实现虚拟主机技术。
Nginx --高阶
neei的博客
07-16 5107
学习笔记
每日漏洞 | Host攻击
03-12 3226
每日漏洞 | Host攻击
Nginx+openwaf,加nginx反向代理配置,实现防火墙功能
Wubuqing的博客
03-23 1032
一、找到压缩包进行编译安装: tar -zxv -f openresty-1.15.8.1.tar.gz cd openresty-1.15.8.1 ./configure --with-luajit --with-http_stub_status_module --with-pcre --with-pcre-jit gmake && gmake install 二、为了测试openresty是否成功安装,在nginx的配置文件加入 server { location /hello { de
Host攻击-使用安全的Web服务器配置
最新发布
wfdfg的博客
05-27 1622
如果Tomcat的内置功能不足以满足你的需求,你可以编写自定义的过滤器来处理HTTP请求,并在其验证Host字段。这涉及到编写Java代码,并将其打包为WAR文件部署到Tomcat。@Override// 初始化方法,可以在这里读取配置参数等@Override// 这里可以添加自定义的验证逻辑// 例如,检查hostHeader是否符合预期的格式或值// 如果Host字段无效,可以返回错误响应或重定向到其他页面return;
漏洞复现之Nginx配置漏洞
Blood_Pupil的博客
03-16 2339
上述各配置漏洞对应的造成漏洞的配置信息如下: CLRF #nginx.conf location / { return 302 https://$host$uri; } 目录遍历 #nginx.conf autoindex on; 目录穿越 #nginx.conf location /files { alias /home/; } add_h...
配置Nginx解决http host攻击漏洞
热门推荐
xiashenbao的博客
11-29 2万+
server { listen 80; server_name 127.0.0.1 192.168.1.32; if ($http_Host !~* ^192.168.1.32|127.0.0.1$) { return 403; } rewrite ^(.*) https://$server_name$1 permanent; } 参考链接:h
关于Host的一些漏洞
weixin_59571952的博客
07-31 3474
关于Host的一些漏洞
Nginx 配置解决host攻击漏洞
谦虚使人发胖的博客
02-21 1万+
nginx 配置解决host攻击漏洞
duanbiren123的博客
06-11 5892
在server外加入下面内容 server { listen 80 default; server_name _; location / { return 403; } } server内的配置修改server_name 为本机IP server { listen 80; server_name $ServerIP; }
nginx白名单ip设置
04-24
您可以使用 Nginx限制访问模块实现 IP 白名单,具体步骤如下: 1. 打开 Nginx 配置文件,添加如下内容: ```text location / { allow IP地址; deny all; } ``` 2. 将 "IP地址" 替换为您需要允许访问的 IP 地址。 3. 重新启动 Nginx 服务器。 这样就可以实现对指定 IP 地址限制访问了。注意,如果您需要允许多个 IP 地址访问,可以使用 allow 指令多次配置。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值