配置Nginx以解决http host头攻击漏洞

这篇具有很好参考价值的文章主要介绍了配置Nginx以解决http host头攻击漏洞。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

配置Nginx以解决http host头攻击漏洞

最近开发的应用接受了安全测试,发现了几个安全问题,在解决的过程中记录一下;

一、HTTP Host头攻击漏洞解决

1、问题描述

	检测应用是否在请求目标站点时返回的URL是直接将Host头拼接在URI前。

2、测试过程

在请求目标站点时,将HOST改为其他域名,如www.baidu.com,应用返回的URL将www.baidu.com拼接在URI前,如下图所示:
host头攻击解决方案,问题随笔,nginx,安全,http

3、 解决方案

在Nginx里还可以通过指定一个SERVER_NAME名单,只有这符合条件的允许通过,不符合条件的返回403状态码。文章来源地址https://www.toymoban.com/news/detail-598958.html

server {
   
        listen 80;

到了这里,关于配置Nginx以解决http host头攻击漏洞的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 漏洞修复-检测到目标URL存在http host头攻击漏洞

    这个漏洞通常表示目标URL会被截取,攻击者可以通过修改请求头中的”host”属性,导致最后导向的目标主机被篡改。漏洞说明如下: ModHeader它可以用来伪造HTTP请求头,包含覆盖Chrome浏览器请求头的默认值。可在Chrome拓展程序中搜索安装。 访问网站,页面正常 2.通过ModHeade

    2024年02月06日
    浏览(44)
  • 目标URL存在http_host头攻击漏洞复现及修复

    漏洞描述 为了方便的获得网站域名,开发人员一般依赖于HTTP Host header。例如,在php里用_SERVER[“HTTP_HOST”]。但是这个header是不可信赖的,如果应用程序没有对host header值进行处理,就有可能造成恶意代码的传入。 危险等级 中危 修复建议 web 应用程序应该使用 SERVER_NAME 而不是

    2024年02月06日
    浏览(45)
  • Nginx报错 HTTP 413 Request Entity Too Large(Payload Too Large)解决方案

    上传文件时,请求参数过大,导致超出服务端限制。 客户端发送的实体主体部分比服务器能够或者希望处理的要大。  Nginx默认最大能够上传1MB文件,打开nginx.conf在http{}中,找到server{}设置: client_max_body_size 30m;(配置客户端请求实体最大值) client_body_buffer_size 128k;(配置请

    2024年02月07日
    浏览(66)
  • 漏洞处置:HTTP/2 快速重置攻击对 F5 NGINX 的影响

    原文作者:Michael Vernik, Nina Forsyth 原文链接:漏洞处置:HTTP/2 快速重置攻击对 F5 NGINX 的影响 转载来源:NGINX 开源社区 NGINX 唯一中文官方社区 ,尽在   nginx.org.cn 本文主要介绍了最近发现的一个与 HTTP/2 协议有关的漏洞——HTTP/2 快速重置(HTTP/2 Rapid Reset)攻击。在特定条件下

    2024年03月25日
    浏览(44)
  • Kubernetes - Ingress HTTP 升级 HTTPS 配置解决方案(新版本v1.21+)

    之前我们讲解过 Kubernetes - Ingress HTTP 搭建解决方案,并分别提供了旧版本和新版本。如果连 HTTP 都没搞明白的可以先去过一下这两篇 Kubernetes - Ingress HTTP 负载搭建部署解决方案_放羊的牧码的博客-CSDN博客 Kubernetes - Ingress HTTP 负载搭建部署解决方案(新版本v1.21+)-CSDN博客 废话

    2024年02月06日
    浏览(48)
  • fatal: unable to access ‘https://github.com/xx‘: Could not resolve host: github.com解决方案——配置DNS服务器

    报错分析 在Linux(Ubuntu)服务器上 clone github上的项目时,会出现该报错: fatal: unable to access \\\'https://github.com/xxxx/xxxx/\\\': Could not resolve host: github.com 此时ping也ping不通。 出现该问题是因为无法解析域名。 原因可能为:1. 该域名出现问题 2. 服务器没有网络 3. 服务器没有配置DNS 前

    2024年02月08日
    浏览(56)
  • nginx设置add_header失效 配置cors跨域失效无效的解决方案

    希望对大家有帮助,有用的话记得点个赞评个论,让俺知道这个法子可以帮助到大家哟!(虽然我这个法子很野) 最近在完成一个项目,后端API地址和前端地址不一致,这就涉及到了跨域的问题。 由于服务端加了一层Nginx作为反代,所以很自然的想到要去 .conf 配置文件中 加

    2024年02月12日
    浏览(43)
  • Github,gitee配置同一个ssh key步骤+ssh: connect to host github.com port 22: Connection timed out解决方案(纯小白教程)

    不要看内容太长,因为插了好多图片,只是为了每个步骤都清清楚楚 😎 每当新解决一个问题的时候就尽量把他记录下来,因为过不了多久就会忘记,回过来看自己的文章记录是常常有的事情 今天把Github配置ssh key的起因是因为在github上下载别人的项目,之前就只是会用 Dow

    2024年01月25日
    浏览(48)
  • 关于xss攻击解决方案

    前端安全系列(一):如何防止XSS攻击? 情况一: 后端直接返回带有样式的字符串,使用v-html会受到xss的攻击: 原理:Vue中的v-html指令用以更新元素的innerHTML,其内容按普通HTML插入,不会作为Vue模板进行编译,容易受到xss攻击 xss攻击检验的方式: 方法一: 使用xss插件 htt

    2023年04月26日
    浏览(45)
  • nginx处理cros跨域遇到的各种问题及解决方案,以及https配置和浏览器https不安全问题处理

    提示:本人在生产部署服务时遇到一系列跨域问题和https配置问题,特此做以下记录: 跨域是指a页面想获取b页面资源,如果a、b页面的协议、域名、端口、子域名不同,或是a页面为ip地址,b页面为域名地址,所进行的访问行动都是跨域的,而浏览器为了安全问题一般都限制了

    2024年02月02日
    浏览(64)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包