前言
在公司给客户做的一个项目中,客户使用绿盟进行了项目漏洞扫描,这里记录一下我做的一些漏洞修复方法。
- 检测到目标URL存在http host头攻击漏洞
由于我使用的是Nginx,因此只需要在Nginx的配置文件里面配置,使项目只能以指定域名(由于没有提供域名,设置的是ip)来访问,如下在设置server_name,这里可以使用多个域名),如果使用其他域名(如localhost)访问直接返回403。配置示例如下:
server{
listen 8082 default;
server_name _;
return 403;
}
server {
listen 8082;
server_name 我的域名 127.0.0.1
…其他配置
}
上面的配置,注意第一个server中,代表除了用下面server中配置的域名来访问系统,其他会返回403页面。
- 检测到会话Cookie中缺少HttpOnly