Nginx应用域名访问限制不严格漏洞修复

已于 2022-08-18 19:42:52 修改
阅读量2.8k 收藏 3
点赞数 1
分类专栏: nginx 文章标签: nginx java 运维
于 2022-08-17 14:31:47 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/whandgdh/article/details/126385364
版权


公司在对Nginx应用进行漏洞扫描时,也存在域名访问限制不严格漏洞修复。如下图所示。
在这里插入图片描述
浏览器直接访问 ip地址时,页面返回了nginx首页地址。
解决问题思路和tomcat一样,当请求ip,时返回空白页面。

1、创建空index.html。

touch /app/soft/nginx/index.html

2、修改nginx 配置

在nginx配置文件 nginx.conf 中添加 根目录转发配置。
注意,经过验证如果直接配置返回 404 或者500,仍然能扫描到漏洞。

   location / {
        alias       /app/soft/nginx/;
        index       index.html;
 }

3、重启nginx

 sudo /opt/nginx/sbin/nginx -s quit
sudo /opt/nginx/sbin/nginx -c /opt/nginx/conf/nginx.conf

4、验证

访问ip 时,返回了空白页面。进行复扫通过。

在这里插入图片描述

菜菜的中年程序猿
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
nginx配置域名访问域名后出现两个斜杠//的解决方法
01-09
最近这两天重新写了一下我的个人网站,在阿里云新买了一台服务器,配置好以后出现了一个问题,就是输入域名域名地址会自动在后面追加两个斜杆 并且网站还访问不了,仔细观察nginx配置后发现发现如下 解决办法 我们应该在nginx配置的路径后面加一个/ 配置完成后 保存重启 再次访问 就没有问题了 附配置文件 server { listen 80; server_name wx.pyxrsj.cn; include /etc/nginx/default.d/*.conf; location / { proxy_pass http://loc
域名访问限制严格漏洞 修复
2022年7月6日从博客园https://www.cnblogs.com/hugboy/ 学习记录博客。
09-22 5373
背景 2022年9月22日13:35:05 上午正在自习室"乱杀"考研数学题,一个网警大队的电话打来... 他告诉我,我的网站存在域名访问限制严格漏洞 文件内容 啥意思? 网上了解了下,就是没有限制用户直接用IP访问网站 图中的方式是不被允许的,我们要强制让用户用域名 www.hugboy.site 来访问,否则就不提供服务 修复方法 在配置文件nginx.conf的服务server里,加上...
tomcat域名访问设置
车前猛跑
12-23 623
server.xml中设置 <Host name="www.xxx.com" appBase="" unpackWARs="true" autoDeploy="false"> <Valve className="org.apache.catalina.valves.AccessLogValve" directory="logs"
域名访问限制严格漏洞原理及修复
zoonctrl的博客
03-15 1372
域名访问限制严格漏洞,原理,修复建议
OWASP漏洞TOP10
s11show_163的博客
02-28 1156
A1 注入 Injection 攻击者把一些包含攻击代码当做命令或者查询语句发送给解释器,这些恶意数据可以欺骗解释器,从而执行计划外的命令或者未授权访问数据。注入漏洞通常能SQL查询、LDAP查询、OS命令、程序参数等中出现。 防范: 1.使用安全的API,避免使用解释器或提供参数化的接口(prepared statements,or stored procedures) 2.使用白名单来规范化的...
apache配置-只允许域名访问-不允许ip访问
03-13
apache配置,只允许域名访问,不允许ip访问
Tomcat应用没有严格域名限制漏洞修复
whandgdh的博客
08-17 2285
修改 index.jsp为刚创建的 index_new.jsp。这里的index.jsp就是tomcat官网那个页面。Tomcat应用进行漏洞扫描时存在漏洞:Http请求的Hostname字段没有严格域名限制,导致可以绕过一些防护措施。进入tomcat根目录/webapps/ROOT目录下,创建空白文件 index_new.jsp。可以直接访问链接 IP:8080,页面展示tomcat官方地址。看到访问IP:8080,返回了空白页面,再次进行复扫,验证通过。进入tomcat安装目录/conf目录。....
关于nginx访问限制
RemixGdc的博客
02-27 399
昨晚没事帮朋友个小忙,因为请求接口的次数有限制,所以他想把请求的数据适当缓存一下首先一个虚拟的主机没有服务器的,好吧,比较懒,直接oneinstack(传送门)按着配置可以安装好lnmp 包括mercached、redis这些,然后这个时候我想看WWW在哪了???由于第一次装有点不知所措啊,百度版本也是很多,好在有个朋友(大神)简单猜了下,我的是在,不然可以用find命令。也可以方便你们找ngin...
新解析的域名访问限制了,因为没有备案!
热门推荐
前端专栏
05-03 1万+
国外的服务器不存在这个问题,国内一些小的网络运营商也不太管这事儿,但如果你碰到新域名访问限制,说明你的服务器运营商插手这事儿了。 拿我们公司举例,前段时间在阿里云的一台服务器上解析了新域名,解析一分钟后就能ping通了,但是在浏览器上访问,出现这个页面: 这个页面就是阿里云限制访问后的提示页,原因说了一堆,其实就是因为没有备案。后来打阿里云客服电话问,也是这个原因。 得了,看到这个
域名系统发现严重漏洞,影响客户访问网页
weixin_34087503的博客
07-16 136
(欢迎媒体转载,转载请注明来源:[url]www.idcps.com[/url]) 前日,互联网惊现一个漏洞域名系统可能发生跳转,就是当用户输入A网站的网址时,页面跳转出来的是B网站的网页。该漏洞是服务器被利用、影响客户端访问的一个欺骗漏洞。 据称,这个域名系统漏洞是美国应急响应中心(US-CERT)最先发现的。近日,该机构发布了域名系统(DN...
网站漏洞检测服务 URL跳转漏洞的检测与修复
网站安全专家
05-24 1980
网站渗透测试是指在没有获得网站源代码以及服务器的情况下,模拟入侵者的攻击手法对网站进行漏洞检测,以及渗透测试,可以很好的对网站安全进行全面的安全检测,把安全做到最大化。在挖掘网站漏洞的时候我们发现很多网站存在域名跳转的情况,下面我们来详细的讲解一下。 域名劫持跳转,也可以叫做url重定向漏洞,简单来讲就是在原先的网址下,可以使用当前域名跳转到自己设定的劫持网址上去。URL跳转漏洞,大多数被攻击者...
Nginx一个域名访问多个项目的方法实例
09-29
主要给大家介绍了关于Nginx一个域名访问多个项目的方法,文中通过示例代码介绍的非常详细,对大家学习或者使用Nginx具有一定的参考学习价值,需要的朋友们下面来一起学习学习吧
Nginx 禁止IP访问 只允许域名访问
01-10
我们在使用的时候会遇到很多的恶意IP攻击,这个时候就要用到Nginx 禁止IP访问了。下面我们就先看看Nginx的默认虚拟主机在用户通过IP访问,或者通过未设置的域名访问(比如有人把他自己的域名指向了你的ip)的时 候生效最关键的一点是,在server的设置里面添加这一行: listen 80 default; 后面的default参数表示这个是默认虚拟主机。 Nginx 禁止IP访问这个设置非常有用。 比如别人通过ip或者未知域名访问你的网站的时候,你希望禁止显示任何有效内容,可以给他返回500.目前国内很多机房都要求网站主关闭空主机头,防止未备案的域名指向过来造成麻烦。就可以这样设置:
Nginx定义域名访问方式
01-09
最近在搭建Nginx,做到域名访问的时候总是访问不了。 nginx的配置文件nginx.conf中server配置如下: server { listen 80; server_name hehe.weige.com; #charset koi8-r; #access_log logs/host.access.log main; location / { root html-hehe; index index.html index.htm; } } 配置完之后 在sbin 目录下执行命令 ./nginx -s reload 重新加载配置文件 加载之后浏览器地
服务器及nginx常见漏洞修复
09-14
服务器及nginx常见漏洞修复
nginx 集群系列 - nginx 配置实战
hunter_wyh
10-17 4191
虚拟主机配置 虚拟主机定义 nginx虚拟主机配置 分析nginx配置文件 虚拟主机名 基于域名的虚拟主机 基于IP的虚拟主机 基于端口的虚拟主机 访问限制 基于客户端IP地址的访问控制 HTTP基本认证机制的访问控制 状态监控 nginx 访问状态监控 tengine 状态监控 反向代理与负载均衡 seesion一致性 memcached redis
nginx 跨域_Nginx配置跨域-只有暴漏了问题,才能解决问题
weixin_39702483的博客
11-28 350
背景前端仔试过了:node跨域、vue Proxy跨域、jq跨域、后台大佬协助跨域,这次跨域就是要用 nginx !!!其他我不管!html代码let res = fetch('http://localhost:8088/follow').then(res=>{console.log(res)})node,server代码const http = require('http')const s...
基于Springboot的旅游管理系统(有报告)。Javaee项目,springboot项目。
最新发布
XING的博客
05-03 1200
基于Springboot的旅游管理系统(有报告)。Javaee项目,springboot项目。数据库作为系统数据储存平台,实现了基于B/S结构的Web系统。界面简洁,操作简单。采用M(model)V(view)C(controller)三层体系结构,通过。
JAVA 学习·泛型(二)——通配泛型
wr114514的博客
05-02 1075
介绍了Java泛型中的重要知识点——通配泛型及其应用
做完域名解析后 nginx配置域名访问不了
05-24
如果您已经完成了域名解析,但是仍然无法通过域名访问您的网站,那么很可能是您的Nginx配置有问题。您可以按照以下步骤来检查您的Nginx配置: 1. 检查Nginx配置文件是否正确:请确保您的Nginx配置文件没有语法错误,并且所有的配置项都正确设置。您可以使用以下命令来检查您的Nginx配置文件: ``` nginx -t ``` 如果您的配置文件有语法错误,这个命令会提示您错误的位置。 2. 检查是否有防火墙或安全组在阻止访问:请确保您的服务器上没有设置防火墙或安全组阻止了外部对您的网站的访问。 3. 检查Nginx监听的端口是否正确:请确保您的Nginx监听了正确的端口。如果您的网站是通过HTTPS协议访问的,那么您需要确认您的Nginx配置文件中已经正确地设置了SSL证书和私钥。 4. 检查您的DNS是否正确:请确保您的DNS记录已经正确地设置。您可以使用以下命令来检查您的DNS记录是否正确: ``` nslookup yourdomain.com ``` 如果您的DNS记录不正确,这个命令会提示您找不到该域名的IP地址。 如果您按照以上步骤检查了Nginx配置文件并且确认所有配置项都正确设置,但是仍然无法通过域名访问您的网站,那么您可以尝试重启Nginx服务,并检查Nginx的错误日志文件来查看是否有相关的错误信息。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

菜菜的中年程序猿

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值