问
云堡垒机是否涉及HTTP Host 头攻击防护漏洞
10小时前提问
- 0关注
- 0收藏,38浏览
问题描述:
详细描述
为了方便的获得网站域名,开发人员一般依赖于HTTP Host header。例如,在php里用_SERVER["HTTP_HOST"]。但是这个header是不可信赖的,如果应用程序没有对host header值进行处理,就有可能造成恶意代码的传入。
解决办法
web应用程序应该使用SERVER_NAME而不是host header。
在Apache和Nginx里可以通过设置一个虚拟机来记录所有的非法host header。在Nginx里还可以通过指定一个SERVER_NAME名单,Apache也可以通过指定一个SERVER_NAME名单并开启UseCanonicalName选项。
验证方法根据检测到目标URL存在http host头攻击漏洞原理,通过修改host头并根据目标站点的响应情况进行漏洞验证。
组网及组网描述:
云堡垒机版本R6114P01
云堡垒机是否涉及这个漏洞。
针对URL存在http host头攻击漏洞,可在系统中启用HTTP Host头攻击防护并配置。
13.1.10.5 配置HTTP Host头攻击防护
为了保证运维审计系统不存在HTTP Host头攻击风险,管理员可以启用HTTP Host 头攻击防护,并设置HTTP Host头白名单。配置后,当用户访问运维审计系统的Web界面时,将会检查用户访问请求中的Host头是否匹配白名单中的域名或IP,只有匹配成功时才能够访问Web界面。
运维审计系统一般需要将业务网口的IP添加到白名单中;如果是HA部署,且需要使用虚IP和各节点的实IP访问Web界面,则将这些IP都添加到白名单中;如果是集群部署,且需要使用外部虚IP和各节点的实IP访问Web界面,则将这些IP都添加到白名单中。如果做了域名的映射,需要将所有域名都添加到白名单中。
- 选择系统设置 > 系统 > 基本设置 > 其他。
- 选择启用。
- 设置HTTP Host头的白名单取值。
- 如需配置IPv6地址,具体的地址需要加上中括号,例如[fc00:1010:32::1]。
- 域名可以使用模糊匹配或使用正则表达式,例如*.***.***、~^www\d+\.example\.net$。
- 如需配置为网段,必须使用模糊匹配或正则表达式,例如10.10.10.0/24网段,写成10.10.10.*。对于IPv6网段,只能使用正则表达式,正则表达式不加中括号,并将:用.代替,例如fc00:1010:32::/64网段,写成~.*.fc00.1010.32.0.*。
- 多个IP或域名之间用空格进行分隔。
- 单击确定保存白名单配置。
- 单击重启Nginx服务,重启Nginx,使配置生效。Note: 重启Nginx服务前,请仔细检查配置是否正确,白名单中已包含了运维审计系统的IP和域名,否则重启后将无法访问Web界面并修改配置。
重启Nginx服务后,白名单配置将生效,如访问运维审计系统时的HTTP Host头不匹配,浏览器将返回403错误。
如因配置错误导致Web界面无法访问,请在Console控制台中重新配置Host头防护。
14.9.1 配置Host头防护
本配置仅对当前节点生效。
为了保证运维审计系统不存在HTTP Host头攻击风险,管理员可以启用HTTP Host 头攻击防护,并设置HTTP Host头白名单。配置后,当用户访问运维审计系统的Web界面时,将会检查用户访问请求中的Host头是否匹配白名单中的域名或IP,只有匹配成功时才能够访问Web界面。
运维审计系统一般需要将业务网口的IP添加到白名单中;如果是HA部署,且需要使用虚IP和各节点的实IP访问Web界面,则将这些IP都添加到白名单中;如果是集群部署,且需要使用外部虚IP和各节点的实IP访问Web界面,则将这些IP都添加到白名单中。如果做了域名的映射,需要将所有域名都添加到白名单中。
- 登录运维审计系统的Console。
- 在主菜单输入N并按下回车键,进入Nginx Management。
- 查看Host header defend status后面的Host头防护的状态,enable表示开启,disable表示关闭。
- 输入E,执行Enable host header defend,开启防护;或输入D,执行Disable host header defend。
- 启用防护的状态下,输入U,执行Update Server Name,更新Nginx的Server Name名单。
- 输入新的Server Name名单内容并按回车确定。Current Server Name将显示当前的名单内容。Nginx Management:
1. Host header defend status: enable
D. Disable host header defend
U. Update Server Name
0. Return
Enter selection: U
Current Server Name: 10.10.33.35 10.10.33.36
Please input new server name: 10.10.33.* ~.*.fc00.1010.32.0.* *.***.***
Update nginx server name successfully.- 如需配置IPv6地址,具体的地址需要加上中括号,例如[fc00:1010:32::1]。
- 域名可以使用模糊匹配或使用正则表达式,例如*.***.***、~^www\d+\.example\.net$。
- 如需配置为网段,必须使用模糊匹配或正则表达式,例如10.10.10.0/24网段,写成10.10.10.*。对于IPv6网段,只能使用正则表达式,正则表达式不加中括号,并将:用.代替,例如fc00:1010:32::/64网段,写成~.*.fc00.1010.32.0.*。
- 多个IP或域名之间用空格进行分隔。
在该菜单中执行启用/关闭该功能,或者执行Update Server Name,Nginx都将会自动重启。
编辑答案
➤
✖
亲~登录后才可以操作哦!
确定
✖
✖
你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
✖
举报
×
侵犯我的权益
>
对根叔社区有害的内容
>
辱骂、歧视、挑衅等(不友善)
侵犯我的权益
×
侵犯了我企业的权益
>
抄袭了我的内容
>
诽谤我
>
辱骂、歧视、挑衅等(不友善)
骚扰我
侵犯了我企业的权益
×
您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。
抄袭了我的内容
×
原文链接或出处
诽谤我
×
您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。
对根叔社区有害的内容
×
垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载
>
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票
不规范转载
×
举报说明
暂无评论