URL后面不加斜杠导致Host头攻击-nginx

最新推荐文章于 2024-08-16 14:19:17 发布
最新推荐文章于 2024-08-16 14:19:17 发布
阅读量2.5k 收藏 2
点赞数 1
分类专栏: nginx host头攻击 文章标签: nginx 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ordar123/article/details/105296085
版权

URL后面不加斜杠导致Host头攻击-nginx

参考:https://www.cnblogs.com/fws407296762/p/9336163.html
https://www.freebuf.com/articles/web/178315.html

https://blog.csdn.net/baishuhui123/article/details/89216646

Nginx URL后面不加斜杠301重定向和302重定向。导致的host头攻击。

主要原因:

当请求URL后面没有 / ,Nginx 目录中没有对应的文件,就会自动进行 301 并加上 /.

修复建议:

修复301重定向:

在 Nginx 的配置文件中,加上 port_in_redirect off; 如果是 Nginx 版本号大于 1.11.8,可以考虑用 absolute_redirect off;

注意:

在用 Chrome 的时候,一定要先清除缓存在测试,Chrome 会自动将 301 缓存在本地。

修复302重定向参考下面两种方法:
(亲测方法二可修复302跳转):

方法一:

修改nginx.conf

添加一个默认server,当host头被修改匹配不到server时会跳到该默认server,该默认server直接返回403错误。

例子如下:

server {
       listen 8888 default;
       server_name _;
       location / {
            return 403;
       }
       }

重启nginx即可。

方法二:

修改nginx.conf

在目标server添加检测规则,参考以下配置:

server {
       server_name  192.168.0.171;
       listen       8888;
        if ($http_Host !~*^192.168.0.171:8888$)
        {
        return 403;
        }
     }

重启nginx即可。

如果nginx.conf无法reload ,报invalid condition "$http_Host“这个错误,可修改为如下:

if ($http_Host != ‘192.168.0.171:8888’)

ordar123
关注
专栏目录
Nginx学习二
weixin_45512368的博客
08-07 923
Nginx学习二
612错误 nginx转发200_nginx通过自定义header属性来转发不同的服务
weixin_29083373的博客
01-17 783
一、背景因为需要上线灰度发布,只要nginx接收到部为:wx_unionid:123456就会跳转到另外一个url,比如:127.0.0.1:8080通过配置nginx 匹配请求wx_unionid 来转发到灰度环境。核心:客户端自定义的http header,在nginx的配置文件里能直接读取到。条件:header必须用减号“-”分隔单词,nginx里面会转换为对应的下划线“_”连接的小写单...
[亲测有用]nginx重新加载配置时候出现nginx: [emerg] invalid host in upstream
weixin_43479772的博客
08-25 1万+
问题描述 nginx重新加载配置时候出现nginx: [emerg] invalid host in upstream “http://1.15.xxx.xxx:3001” in /usr/local/nginx 解决方案 改为下图所示
检测到目标URL存在http host攻击漏洞
最新发布
ruanjian_kj的博客
08-16 655
nginx 的 default_server 指令可以定义默认的 server 去处理一些没有匹配到 server_name 的请求,如果没有显式定义,则会选取第一个定义的 server 作为 default_server。若请求不是指定的url,一律返回403。
nginx: if逻辑运算 (与或非) 实现
SummerGao
10-13 7128
今天我想限制服务器80端口只能...
nginx if多重嵌套
m0_38130105的博客
05-15 2126
原文出处:nginx 逻辑运算 nginx的配置中不支持if条件的逻辑与&& 逻辑或|| 运算 ,而且不支持if的嵌套语法,否则会报下面的错误:nginx: [emerg] invalid condition。 我们可以用变量的方式来间接实现。 要实现的语句: if ($arg_unitid = 42012 && $uri ~/thumb/){ echo "www.ttlsa.com"; } 如果按照这样来配置,就会报nginx: [emerg] inval.
nginx url自动加斜杠及301重定向的问题
09-30
这意味着如果未明确指定`server_name`,Nginx会使用请求中的`Host`字段,这可能导致不期望的重定向到服务器的主机名,如例子中出现的`localhost.localdomain`。 2. 当`server_name_in_redirect`设置为`off`时,...
配置解决Nginx服务器中WordPress路径不自动加斜杠问题
09-30
这主要是因为Nginx不会自动为请求的URL末尾添加斜杠导致路径无法正确解析。为解决这个问题,需要在Nginx的配置文件中加入特定的重写规则。 首先,要解决Nginx不自动为路径末尾添加斜杠的问题,可以通过编写正则...
nginx配置域名访问时域名后出现两个斜杠//的解决方法
09-29
如果在域名后面自动添加了两个斜杠,这通常意味着Nginx配置有误,导致了不符合预期的路径解析。 解决方法是在proxy_pass后面添加一个斜杠“/”,以确保请求的转发是按照预期进行的。按照文章中的示例,正确的配置...
unknown directive "if(!-e" in /usr/local/nginx/conf/nginx.conf
wang_quan_li的专栏
11-22 2207
一,我遇到nginxurl重写问题 nano /usr/local/nginx/conf/nginx.conf if (!-e $request_filename){ 这里就是一些url重写的规则 } 当我重起的时候,老是报错,我又重新看了一下配置文件,没什么问题,我就很郁闷,这个问题困扰我有二三个星期了,今天我在一个老外写的博客中看到这个东东了。 [root@BlackGhost
Nginx启动报错 nginx: [emerg] invalid URL prefix in /opt/mynginx/conf/nginx.conf:xx【已解决】
萌小崔的博客
12-14 1万+
老规矩先说解决方案:造成该错误的原因是你的nginx.conf配置文件下location请求的url地址写错了
nginx配置文件详解
weixin_33704591的博客
11-12 1151
nginx配置文件nginx.conf超详细讲解 #nginx进程,一般设置为和cpu核数一样 worker_processes 4; #错误日志存放目录 error_log /data1/logs/error.log crit;#运行用户,默认即是nginx,可不设置 user nginx...
基础知识之nginx重写规则
飞过海的博客
09-21 3127
nginx重写规则 nginx rewrite 正则表达式匹配 大小写匹配 ~ 为区分大小写匹配 ~* 为不区分大小写匹配 !~和!~*分别为区分大小写不匹配及不区分大小写不匹配 文件及目录匹配 -f和!-f用来判断是否存在文件 -d和!-d用来判断是否存在目录 -e和!-e用来判断是否存在文件或目录 -x和!-x用来判断文件是否可执行 flag标记 last
nginx部分内置变量详解
u014589884的博客
08-15 1万+
nginx内置变量详解 1.nginx中$host、$http_host和$proxy_host区别 变量 是否显示端口 值 $host 不显示端口 ...
nginx运维基础(2)】Nginx的配置文件说明及虚拟主机配置示例
weixin_30607029的博客
10-12 96
配置文件说明 #定义Nginx运行的用户和用户组 user www www; #nginx进程数,建议设置为当前主机的CPU总核心数。 worker_processes 8; #全局错误日志定义类型,[ debug | info | notice | warn | error | crit ] error_log ar/loginx/error.log info; #进程文件 pid ...
nginx if多条件判断
热门推荐
踏歌行的专栏
06-17 5万+
原文出处:nginx 逻辑运算 nginx的配置中不支持if条件的逻辑与&& 逻辑或|| 运算 ,而且不支持if的嵌套语法,否则会报下面的错误:nginx: [emerg] invalid condition。 我们可以用变量的方式来间接实现。 要实现的语句: if ($arg_unitid = 42012 && $uri ~/thumb/){ echo "www
nginx: [emerg] invalid URL prefix in URL/nginx.conf
a515557595_xzb的博客
11-03 4万+
nginx: [emerg] invalid URL prefix in /usr/local/nginx/conf/nginx.conf
Invalid HTTP_HOST header
shaowei的博客
11-04 1003
Problem solution The error log is straightforward. As it suggested,You need to add 198.211.99.20 to your ALLOWED_HOSTS setting. In your project settings.py file,set ALLOWED_HOSTS like this : ALLOWED_...
nginx proxy_pass配置详解:URL后加/与不加/的区别
这个配置的一个关键细节在于url后面是否添加斜杠“/”。这一小字符的不同,会导致代理行为的显著差异。 1. **不加/的情况** 当proxy_pass指令后的url没有添加/,例如`proxy_pass http://backend_server;`,这时...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

ordar123

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值