国产 无码 综合区,色欲AV无码国产永久播放,无码天堂亚洲国产AV,国产日韩欧美女同一区二区

  1. Toy模板網(wǎng)首頁
  2. >Toy博客

nginx漏洞修復(fù)之檢測(cè)到目標(biāo)URL存在http host頭攻擊漏洞

2年前作者:早九晚十二分類:Toy博客閱讀(38)違法舉報(bào)

這篇具有很好參考價(jià)值的文章主要介紹了nginx漏洞修復(fù)之檢測(cè)到目標(biāo)URL存在http host頭攻擊漏洞。希望對(duì)大家有所幫助。如果存在錯(cuò)誤或未考慮完全的地方,請(qǐng)大家不吝賜教,您也可以點(diǎn)擊"舉報(bào)違法"按鈕提交疑問。

漏洞說明

為了方便的獲得網(wǎng)站域名,開發(fā)人員一般依賴于HTTP Host header。例如,在php里用_SERVER[“HTTP_HOST”]。但是這個(gè)header是不可信賴的,如果應(yīng)用程序沒有對(duì)host header值進(jìn)行處理,就有可能造成惡意代碼的傳入。
host頭攻擊漏洞修復(fù),# NGINX,nginx,http,運(yùn)維

解決方法

綠盟建議:
web應(yīng)用程序應(yīng)該使用SERVER_NAME而不是host header。
在Apache和Nginx里可以通過設(shè)置一個(gè)虛擬機(jī)來記錄所有的非法host header。在Nginx里還可以通過指定一個(gè)SERVER_NAME名單,Apache也可以通過指定一個(gè)SERVER_NAME名單并開啟UseCanonicalName選項(xiàng)。

修復(fù)過程

配置server塊default_server,處理沒請(qǐng)求到具體url的請(qǐng)求

   server {                                                                                                                                                     
       listen          80 default_server;                                                                                                                                                                                           
       server_name  _;                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      
       
       location / { 
       return 403;                                                                                                                                                                                                                                                                                                         
       }                                                                                                                                                        
    }

nginx 的 default_server 指令可以定義默認(rèn)的 server 去處理一些沒有匹配到 server_name 的請(qǐng)求,如果沒有顯式定義,則會(huì)選取第一個(gè)定義的 server 作為 default_server。

之后將后續(xù)的server_name配置上準(zhǔn)確的可訪問的地址,重啟nginx即可文章來源地址http://www.zghlxwxcb.cn/news/detail-588726.html

#其余server配置
server_name  127.0.0.1 192.168.1.1 www.test.com;
#重啟
nginx -s reload

到了這里,關(guān)于nginx漏洞修復(fù)之檢測(cè)到目標(biāo)URL存在http host頭攻擊漏洞的文章就介紹完了。如果您還想了解更多內(nèi)容,請(qǐng)?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章,希望大家以后多多支持TOY模板網(wǎng)!

本文來自互聯(lián)網(wǎng)用戶投稿,該文觀點(diǎn)僅代表作者本人,不代表本站立場(chǎng)。本站僅提供信息存儲(chǔ)空間服務(wù),不擁有所有權(quán),不承擔(dān)相關(guān)法律責(zé)任。如若轉(zhuǎn)載,請(qǐng)注明出處: 如若內(nèi)容造成侵權(quán)/違法違規(guī)/事實(shí)不符,請(qǐng)點(diǎn)擊違法舉報(bào)進(jìn)行投訴反饋,一經(jīng)查實(shí),立即刪除!

領(lǐng)支付寶紅包贊助服務(wù)器費(fèi)用

相關(guān)文章

  • 檢測(cè)到目標(biāo)URL存在暗鏈

    暗鏈又叫隱藏鏈接,指的是正常的鏈接通過一些方法,如:把鏈接放入js代碼中,使用display:none等等,從而使用戶在正常瀏覽網(wǎng)頁的時(shí)候無法看到這個(gè)鏈接。暗鏈?zhǔn)菍?duì)搜索引擎的一種欺騙,導(dǎo)致搜索引擎的誤判,將高權(quán)重分配給原本沒有價(jià)值的網(wǎng)站甚至是釣魚網(wǎng)站。這樣極易

    2024年02月16日
    瀏覽(24)

  • 慢速 HTTP 攻擊 Slow HTTP Attack漏洞原理以及修復(fù)方法

    漏洞名稱 :Slow Http attack、慢速攻擊 漏洞描述 :慢速攻擊基于HTTP協(xié)議,通過精心的設(shè)計(jì)和構(gòu)造,這種特殊的請(qǐng)求包會(huì)造成服務(wù)器延時(shí),而當(dāng)服務(wù)器負(fù)載能力消耗過大即會(huì)導(dǎo)致拒絕服務(wù)。HTTP協(xié)議規(guī)定,HTTP Request以rnrn(0d0a0d0a)結(jié)尾表示客戶端發(fā)送結(jié)束,服務(wù)端開始處理。那

    2024年01月19日
    瀏覽(18)
  • 安全掃描:檢測(cè)到目標(biāo)站點(diǎn)存在javascript框架庫漏洞

    安全掃描:檢測(cè)到目標(biāo)站點(diǎn)存在javascript框架庫漏洞

    發(fā)現(xiàn)問題: 檢測(cè)到目標(biāo)站點(diǎn)存在javascript框架庫漏洞 解決辦法: 1、在node_modules里查找到j(luò)sencrypt文件夾,將里面的jsencrypt.min.js文件復(fù)制出來,放在utils文件夾里。 2、在main.js里,引用方式將 import JsEncrypt from \\\'jsencrypt\\\' 改為 import JsEncrypt from \\\'@/utils/jsencrypt.min.js\\\'

    2024年02月16日
    瀏覽(25)
  • 脆弱的SSL加密算法漏洞原理以及修復(fù)方法_檢測(cè)到目標(biāo)服務(wù)支持ssl弱加密算法漏洞修復(fù)

    脆弱的SSL加密算法漏洞原理以及修復(fù)方法_檢測(cè)到目標(biāo)服務(wù)支持ssl弱加密算法漏洞修復(fù)

    可以這樣建立一個(gè)僅使用SSLv2協(xié)議及其密碼算法的服務(wù)器: httpd.conf SSLProtocol -all +SSLv2 SSLCipherSuite SSLv2:+HIGH:+MEDIUM:+LOW:+EXP 3、 如何建立一個(gè)僅接受強(qiáng)加密請(qǐng)求的SSL服務(wù)器: 如下設(shè)置為僅使用最強(qiáng)的七種密碼算法: httpd.conf SSLProtocol all SSLCipherSuite HIGH:MEDIUM 4、 如何建立一個(gè)僅接受

    2024年04月13日
    瀏覽(43)
  • 修復(fù)nginx 可通過HTTP獲取遠(yuǎn)端WWW服務(wù)信息 漏洞

    修復(fù)nginx 可通過HTTP獲取遠(yuǎn)端WWW服務(wù)信息 漏洞

    當(dāng)前版本是1.22.1編譯安裝的 在原先nginx-1.22.1目錄下重新編譯然后把新加模塊的nginx執(zhí)行文件復(fù)制到nginx安裝目錄下重新啟動(dòng),或者平滑升級(jí)一下就可以了 要先停止n? ?ginx? nginx -s stop 下載? Nginx ?擴(kuò)展? headers-more-nginx-module wget https://github.com/openresty/headers-more-nginx-module/archive/

    2024年02月13日
    瀏覽(21)
  • 漏洞處置:HTTP/2 快速重置攻擊對(duì) F5 NGINX 的影響

    漏洞處置:HTTP/2 快速重置攻擊對(duì) F5 NGINX 的影響

    原文作者:Michael Vernik,?Nina Forsyth 原文鏈接:漏洞處置:HTTP/2 快速重置攻擊對(duì) F5 NGINX 的影響 轉(zhuǎn)載來源:NGINX 開源社區(qū) NGINX 唯一中文官方社區(qū) ,盡在 ? nginx.org.cn 本文主要介紹了最近發(fā)現(xiàn)的一個(gè)與 HTTP/2 協(xié)議有關(guān)的漏洞——HTTP/2 快速重置(HTTP/2 Rapid Reset)攻擊。在特定條件下

    2024年03月25日
    瀏覽(24)
  • 【網(wǎng)安AIGC專題10.11】①代碼大模型的應(yīng)用:檢測(cè)、修復(fù)②其安全性研究:模型竊取攻擊(API和網(wǎng)頁接口) 數(shù)據(jù)竊取攻擊 對(duì)抗攻擊(用途:漏洞隱藏) 后門攻擊(加觸發(fā)器+標(biāo)簽翻轉(zhuǎn))

    【網(wǎng)安AIGC專題10.11】①代碼大模型的應(yīng)用:檢測(cè)、修復(fù)②其安全性研究:模型竊取攻擊(API和網(wǎng)頁接口) 數(shù)據(jù)竊取攻擊 對(duì)抗攻擊(用途:漏洞隱藏) 后門攻擊(加觸發(fā)器+標(biāo)簽翻轉(zhuǎn))

    本文為 鄒德清教授的《網(wǎng)絡(luò)安全專題》課堂筆記系列 的文章,本次專題主題為大模型。 第一次課上,文明老師的博士生杜小虎學(xué)長進(jìn)行了 代碼大模型的應(yīng)用及其安全性研究 的相關(guān)介紹 將我之前不太明白的一些概念解釋得深入淺出,醐醍灌頂 另有部分個(gè)人不成熟的理解,歡

    2024年02月04日
    瀏覽(26)

  • 每日漏洞 | Host頭攻擊

    《HTTP | HTTP報(bào)文》最后一節(jié),簡(jiǎn)單的介紹了一下首部字段,其中就包含了Host首部字段。 為了方便獲取網(wǎng)站域名,開發(fā)人員一般依賴于請(qǐng)求包中的Host首部字段。例如,在php里用_SERVER[\\\"HTTP_HOST\\\"]。但是這個(gè)Host字段值是不可信賴的(可通過HTTP代理工具篡改),如果應(yīng)用程序沒有對(duì)H

    2024年02月08日
    瀏覽(17)
  • Http host 標(biāo)頭攻擊

    Http host 標(biāo)頭攻擊

    ????????HTTP Host 標(biāo)頭攻擊是一種網(wǎng)絡(luò)安全攻擊技術(shù),利用了 HTTP 協(xié)議中的 Host 標(biāo)頭字段的漏洞。Host 標(biāo)頭字段用于指定客戶端請(qǐng)求的目標(biāo)主機(jī)名或域名。 ????????攻擊者可以通過構(gòu)造惡意的 HTTP 請(qǐng)求,偽造或篡改 Host 標(biāo)頭字段的值,從而欺騙服務(wù)器,讓服務(wù)器誤以為請(qǐng)

    2024年02月11日
    瀏覽(23)
  • HTTP Host 頭攻擊是什么?

    HTTP Host 頭攻擊是什么?

    ?? 個(gè)人網(wǎng)站:【海擁】【游戲大全】【神級(jí)源碼資源網(wǎng)】 ?? 前端學(xué)習(xí)課程:??【28個(gè)案例趣學(xué)前端】【400個(gè)JS面試題】 ?? 尋找學(xué)習(xí)交流、摸魚劃水的小伙伴,請(qǐng)點(diǎn)擊【摸魚學(xué)習(xí)交流群】 隨著互聯(lián)網(wǎng)的發(fā)展,網(wǎng)絡(luò)安全問題變得日益重要。HTTP Host頭攻擊作為一種常見的網(wǎng)絡(luò)攻

    2024年02月12日
    瀏覽(20)

覺得文章有用就打賞一下文章作者

支付寶掃一掃打賞

博客贊助

微信掃一掃打賞

請(qǐng)作者喝杯咖啡吧~博客贊助

支付寶掃一掃領(lǐng)取紅包,優(yōu)惠每天領(lǐng)

二維碼1

領(lǐng)取紅包

二維碼2

領(lǐng)紅包