配置Nginx解决http host头攻击漏洞【详细步骤】

已于 2023-03-29 17:18:20 修改
阅读量1.6w 收藏 36
点赞数 11
分类专栏: # nginx 文章标签: nginx http 运维
于 2022-12-12 17:08:39 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_48207312/article/details/128288660
版权

配置Nginx解决http host头攻击漏洞【详细步骤】

前言

大概内容:

安全系统渗透测试出host头攻击漏洞,下面是解决步骤,本人已测过无问题。

1、进入nginx目录下

找到nginx存放的地方,一般存放路径/usr/local/nginx
进入到nginx/conf目录下

在这里插入图片描述

2、修改nginx配置文件

使用vi命令vi nginx.conf命令进入配置文件
在这里插入图片描述

i添加内容

  • listen写服务的端口号
  • server_name 填ip地址,多个地址用空格代替如果请求的地址是域名就把域名放上
  • if判断里把地址放进去用|隔开
    注意是在http下添加下面的内容
server {
		
        listen 9000;
        server_name 127.0.0.1 192.168.1.66 www.yang.cn localhost;
        if ($http_Host !~* ^192.168.1.66|127.0.0.1|www.yang.cn|localhost$)
        {
            return 403;
        }                
    }

样例
在这里插入图片描述
添加完成后点esc退出编辑模式,:wq保存

3、添加上后重启配置文件

./nginx -s reload

测试能否访问,如果不能检查是不是ip不对;
如果报错nginx: [emerg] "server" directive is not allowed here in /usr/local/nginx/conf/nginx.conf:38,检查{}符号有没有对应上是不是少了个}
如果没有报错能正常访问项目,就是配好了

Nginx常用基本命令

1、启动Nginx服务器命令:
到sbin路径:cd /usr/local/nginx/sbin
启动Nginx服务器: ./nginx

2、查看Nginx 版本号命令:
./nginx -v
或
./nginx -V

3、查看Nginx进程命令:
ps aux|grep nginx

4、检查Nginx配置文件是否正确命令:
 ./nginx -t

指定检测特定Nginx配置文件:-c表示configuration,指定配置文件
./nginx -t -c /usr/local/nginx/conf/nginx.conf

5、Nginx服务器指定启动配置文件命令:
./nginx -c /usr/local/nginx/conf/nginx.conf

6、暴力停止Nginx服务器命令:
./nginx -s stop

7、优雅停止Nginx服务器命令:
./nginx -s quit

8、Nginx重新加载配置文件命令:
./nginx -s reload

仰天大笑出门去,我辈岂是蓬蒿人

IT行业小趴菜
关注
  • 11
    点赞
  • 36
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
host主机漏洞解决.zip
09-28
主要是记录了如何在iis配置修改host主机泄露漏洞,其中含iis重写小插件。
nginx修复host攻击
qq_38000851的博客
07-29 4130
程序员最难受的事情,就是你开开心心的开发着代码,突然一个维护的事情让你做,别问为什么开发要弄维护的,问就是当初上错了轿。这次的web漏洞host攻击,虽然对对方说,我们代码里没有用到host的地方,无奈对方不理睬,只能硬着皮整改了。 参考文章: https://www.jianshu.com/p/690acbf9f321 https://blog.csdn.net/ImSanJin/article/details/100080904?utm_medium=distribute.pc_relevant
配置Nginx解决http host攻击漏洞
xiashenbao的博客
11-29 2万+
server { listen 80; server_name 127.0.0.1 192.168.1.32; if ($http_Host !~* ^192.168.1.32|127.0.0.1$) { return 403; } rewrite ^(.*) https://$server_name$1 permanent; } 参考链接:h
Host攻击
最新发布
wfdfg的博客
05-27 2509
(也被称为HTTP Host注入攻击)是一种Web安全漏洞攻击者通过篡改HTTP请求中的Host部字段来执行恶意操作。在HTTP协议中,Host部字段用于指定请求所针对的域名,以便服务器能够正确地将请求路由到相应的Web应用程序。
Host攻击-使用安全的Web服务器配置
wfdfg的博客
05-27 938
如果Tomcat的内置功能不足以满足你的需求,你可以编写自定义的过滤器来处理HTTP请求,并在其中验证Host字段。这涉及到编写Java代码,并将其打包为WAR文件部署到Tomcat中。@Override// 初始化方法,可以在这里读取配置参数等@Override// 这里可以添加自定义的验证逻辑// 例如,检查hostHeader是否符合预期的格式或值// 如果Host字段无效,可以返回错误响应或重定向到其他页面return;
Nginx屏蔽攻击
qq_44637753的博客
04-01 8732
Nginx屏蔽攻击 多IP 简单配置nginx.conf server { listen 80; server_name name1 name2; ##name可以为域名或者ip if ($http_Host !~* ^name1|name2$) ##name1和name2之间 连接符“|”无任何空格,有空格报错,如果是单域名(ip)省略“|name2”格式为“$http_Host !~* ^name1$” {
安全渗透测评之nginx配置解决方案
just_for_that_moment的博客
08-13 8179
host攻击漏洞,点击劫持漏洞,X-Download-Options响应缺失,X-Permitted-Cross-Domain-Policies响应缺失,Referrer-Policy响应缺失,Strict-Transport-Security响应缺失,Content-Security-Policy响应缺失,X-XSS-Protection响应缺失,X-Content-Type-Options响应缺失,会话cookie中缺少HttpOnly属性......
URL存在http host攻击漏洞,修复方案
xin292930540的专栏
09-15 1万+
漏洞描述:为了方便的获得网站域名,开发人员一般依赖于HTTP Hostheader。例如,在php里用_SERVER[“HTTP_HOST”]。但是这个header是不可信赖的,如果应用程序没有对host header值进行处理,就有可能造成恶意代码的传入。访问网站时如果访问路径中缺少/,大多数中间件都会自动将路径补全,返回302或301跳转如下图,Location位置的域名会使用Host的值。这种情况实际上风险较低,难以构成Host攻击。但是由于大多漏洞扫描。
HTTP Host 攻击是什么?
努力是为了站在万人之中,成为别人的光
06-21 5923
随着互联网的发展,网络安全问题变得日益重要。HTTP Host攻击作为一种常见的网络攻击手段,对网站和用户的安全造成潜在威胁。本文将解释什么是HTTP Host攻击攻击的原理,危害以及相应的防御措施。HTTP Host攻击是指攻击者利用HTTP请求中的Host字段进行攻击的一种方式。在HTTP协议中,Host字段用于指定请求的目标主机。攻击者通过伪造或篡改Host字段,来欺骗服务器或应用程序,从而实施各种攻击行为。HTTP Host攻击是一种利用HTTP请求中的Host字段进行攻击的手段。
Http host攻击
weixin_42451330的博客
06-27 7157
HTTP Host攻击是一种网络安全攻击技术,利用了 HTTP 协议中的 Host字段的漏洞Host字段用于指定客户端请求的目标主机名或域名。攻击者可以通过构造恶意的 HTTP 请求,伪造或篡改 Host字段的值,从而欺骗服务器,让服务器误以为请求是针对其他主机或域名的。
host攻击漏洞修复方案
mjm_1251162714的博客
03-28 9780
检测到目标URL存在http host攻击漏洞 简介 绿盟科技扫描到网站存在http host攻击漏洞,需要对该漏洞进行修复,网站后台是用java写的,对于这种host攻击的方式,有很多种方式避免。 如从源考虑的话,一般网站都配置nginx或者部署在Apache上面,可以在nginx或者Apache上拦截非法请求的;由于我是在本机上测试的,项目是部署在tomcat上,故无法验证ngin...
Nginx同时支持HttpHttps的配置详解
09-29
主要介绍了Nginx同时支持HttpHttps的配置详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
详解NginxHTTP的keepalive相关配置
09-30
主要介绍了NginxHTTP的keepalive相关配置,以及NginxHttpd守护进程相关的keepalive timeout配置,需要的朋友可以参考下
Nginx最详细的反向代理配置步骤.doc
07-06
在本配置中,我们主要探讨如何使用Nginx作为反向代理服务器,将客户端的请求转发到后端的Web服务器集群。Nginx是一个高性能的HTTP和反向代理服务器,常用于负载均衡、缓存和内容分发等场景。在这个案例中,我们将...
配置Nginx实现简单防御cc攻击
01-11
使用Nginx配置对cc攻击进行简单防御 =================================================================== 主要是通过nginx和lua来配合,达到防御的目的。 一、Nginx编译支持lua —————————— 1. 下载...
Nginx中防止SQL注入攻击的相关配置介绍
09-30
Nginx中防止SQL注入攻击是保护Web应用程序...总之,防止SQL注入攻击需要多层防御策略,包括但不限于Nginx配置、应用程序代码安全实践以及定期的安全更新和审计。通过这些措施,可以显著降低网站被SQL注入攻击的风险。
nginx配置中$http_host、$host、$host:$proxy_port和$host:$server_port区别
热门推荐
耕耘
06-22 2万+
nginx配置中$http_host、$host、$host:$proxy_port和$host:$server_port区别
nginx漏洞修复之检测到目标URL存在http host攻击漏洞
tootsy_you的博客
07-11 3183
nginx漏洞修复记录
漏洞修复-检测到目标URL存在http host攻击漏洞
魔希达的博客
12-19 2670
这个漏洞通常表示目标URL会被截取,攻击者可以修改了信息中的”host”属性后再调用,会导致最后导向的目标主机被篡改。
漏洞修复-检测到目标URL存在http host攻击漏洞 nginx配置
07-14
要修复目标URL存在HTTP Host攻击漏洞的问题,并在Nginx中进行配置,可以采取以下步骤: 1. 添加HTTP Host验证规则: 在Nginx配置文件中,找到针对目标URL的相关配置块,并添加以下配置来验证HTTP Host: ``` if ($http_host !~* ^(www\.example\.com)$) { return 444; } ``` 上述示例中,假设预期的合法Host是"www.example.com"。如果请求中的Host不匹配预期值,Nginx将返回444状态码,可以根据需要选择其他适当的操作。 2. 使用server_name指令限制合法的Host: 在Nginx的虚拟主机配置中,使用server_name指令指定预期的合法Host。示例如下: ``` server { listen 80; server_name www.example.com; // 其他配置项 } ``` 只有请求中的Host与server_name指令中定义的值匹配时,Nginx才会将请求路由到该虚拟主机。 3. 启用strict_host_header选项: 在Nginx的全局配置或特定虚拟主机配置中,启用strict_host_header选项可以帮助防止HTTP Host攻击。示例如下: ``` http { # 其他配置项 server { # 其他配置项 strict_host_header on; # 其他配置项 } } ``` 启用strict_host_header选项将强制Nginx仅接受请求中的Host,而不会根据请求行中的主机名来处理请求。 请注意,以上配置只是示例,具体的配置取决于您的应用程序和环境。在进行任何配置更改之前,请确保备份原始配置文件,并在更改后进行测试以验证配置的有效性和安全性。此外,建议参考Nginx的官方文档和最佳实践,以获取更详细和准确的配置指导。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

IT行业小趴菜

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值