Web服務(wù)器中怎么防止Host頭攻擊
發(fā)布時(shí)間:2021-08-23 15:12
來(lái)源:億速云
閱讀:0
作者:Leah
欄目: 網(wǎng)絡(luò )安全
這期內容當中小編將會(huì )給大家帶來(lái)有關(guān)Web中怎么防止Host頭攻擊��,文章內容豐富且以專(zhuān)業(yè)的角度為大家分析和敘述�,閱讀完這篇文章希望大家可以有所收獲��。
Apache:
方法一:
修改\conf\httpd.conf文件
修改ServerName為應用的域名��,例如
ServerName www.domain.com:80
添加下列行
UseCanonicalName On
重啟Apache即可����。
修復成功的話(huà)會(huì )看到�����,服務(wù)器端將會(huì )使用設定好的ServerName����。
參數解釋?zhuān)?/p>
方法二:
修改\conf\httpd.conf文件
參考以下配置添加:
NameVirtualHost 192.168.0.16
<VirtualHost 192.168.0.16>
ServerName 192.168.0.16
<Location />
Order Allow,Deny
Deny from all
</Location>
</VirtualHost>
<VirtualHost 192.168.0.16>
DocumentRoot "C:\www"
ServerName www.test.com
</VirtualHost>
重啟Apache即可�����。
作用:
拒絕直接通過(guò)192.168.0.16這個(gè)IP的任何訪(fǎng)問(wèn)請求��,這時(shí)如果你用192.168.0.16訪(fǎng)問(wèn)����,會(huì )提示拒絕訪(fǎng)問(wèn)���。僅允許通過(guò)www.test.com這個(gè)域名訪(fǎng)問(wèn)����,主目錄指向C:\www
方法三:
修改\conf\httpd.conf文件
找到"#LoadModule rewrite_module modules/mod_rewrite.so"去除前面的"#"號
添加類(lèi)似以下配置:
RewriteEngine onRewriteCond %{HTTP_HOST} !^192.168.0.16$ [NC]RewriteRule ^(.*)$ /error.html重啟Apache即可�����。
作用:
當HOST頭不是192.168.0.16時(shí)�,重定向到錯誤頁(yè)面��。
Nginx:
方法一:
修改nginx.conf
添加一個(gè)默認server�,當host頭被修改匹配不到server時(shí)會(huì )跳到該默認server��,該默認server直接返回403錯誤�。
例子如下:
server { listen 8888 default; server_name _; location / { return 403; } }重啟nginx即可�����。
方法二:
修改nginx.conf
在目標server添加檢測規則����,參考以下標紅配置:
server { server_name 192.168.0.171; listen 8888; if ($http_Host !~*^192.168.0.171:8888$) { return 403; } include /etc/nginx/default.d/*.conf; location / { root /www/dvwa; index index.php index.html index.htm; } }重啟nginx即可�����。
Tomcat:
修改tomcat\conf\server.xml
找到如下位置:
將Host里的name修改為靜態(tài)的域名�����,如下:
重啟tomcat即完成修復���。
IIS6.0:
使用ISAPI_Rewrite插件對請求包內容進(jìn)行檢測并重寫(xiě)URL���。
插件安裝包和破解工具下載地址:https://pan.baidu.com/s/1hZVfCm7FraQWHlKMKyItFQ
下載完成后雙擊程序一直點(diǎn)擊下一步安裝即可����。
破解工具解壓后如圖三個(gè)文件
將破解的這三個(gè)文件直接復制粘貼到ISAPI_Rewrite的安裝目錄�����,也就是覆蓋掉官方的原文件, 如果提示不能覆蓋,你可以先將官方的這個(gè)三個(gè)文件重命名其它的名字,再將這個(gè)三個(gè)破解文件復制過(guò)來(lái)��。
替換完成后�,必須為ISAPI_Rewrite.dll添加SERVICE用戶(hù)組����,并授予讀取��、讀取和運行權限���。(該步非常重要�,否則后續ISAPI_Rewrite將無(wú)法工作)�。
打開(kāi)IIS管理工具���,選擇目標項目->屬性->ISAPI篩選器->添加->選擇你安裝的ISAPI_Rewrite.dll文件的路徑->確定
重啟IIS和重新打開(kāi)IIS管理工具���,在目標項目->屬性中可以看到新增的ISAPI_Rewrite標簽�,在這里可以根據需求直接寫(xiě).htaccess規則進(jìn)行重定向��。
配置Host頭白名單��,可參考以下規則�。
配置完成點(diǎn)擊應用后�����,當請求包中Host字段不為設定好的192.168.2.141時(shí)���,會(huì )自動(dòng)跳轉到報錯頁(yè)面����。
IIS7.0/7.5/8.0:
微軟推出了一款URL 重寫(xiě)模塊工具��,可對請求URL進(jìn)行過(guò)濾處理��,此工具需要自行安裝����,下面提供工具下載地址:
微軟下載地址(64位): http://www.microsoft.com/zh-cn/download/details.aspx?id=7435
微軟下載地址(32位): http://www.microsoft.com/zh-cn/download/details.aspx?id=5747
下載完成后雙擊程序一直點(diǎn)擊下一步安裝即可����。
然后重新啟動(dòng)iis管理工具�����,此時(shí)可以看到IIS欄下有一個(gè)URL重寫(xiě)工具����。
雙擊URL重寫(xiě)功能�,然后在URL地址入站規則欄上添加規則�����。
選擇請求阻止���。
參照下圖進(jìn)行配置規則����,主機頭那填寫(xiě)好網(wǎng)站域名或ip即可�����,然后點(diǎn)擊確定�����。
此時(shí)雙擊剛創(chuàng )建的規則�����。
在請求的URL選擇項選擇“與模式不匹配”���,在使用項那選擇“完成匹配”��,在操作類(lèi)型那選擇“中止請求”����,然后點(diǎn)擊右上角的應用按鈕��。
然后重新啟動(dòng)網(wǎng)站�,此時(shí)重新測試就會(huì )發(fā)現當host不是192.168.124.149時(shí)�����,服務(wù)器會(huì )中止請求����,從而起到防范host頭部的作用����。
