您的位置:首页>>新闻资讯>>常见问题
IIS7.5检测到目标URL存在http host头攻击漏洞解决方式
发表日期:2021-05-28 06:40:39   文章编辑:admin    浏览次数:1033
 
详细描述 为了方便的获得网站域名,开发人员一般依赖于HTTP Host header。例如,在php里用_SERVER["HTTP_HOST"]。但是这个header是不可信赖的,如果应用程序没有对host header值进行处理,就有可能造成恶意代码的传入。

解决办法 web应用程序应该使用SERVER_NAME而不是host header。
在Apache和Nginx里可以通过设置一个虚拟机来记录所有的非法host header。在Nginx里还可以通过指定一个SERVER_NAME名单,Apache也可以通过指定一个SERVER_NAME名单并开启UseCanonicalName选项。

为了解决这个安全漏洞扫描报告结果,宜兴博路网络见意在网站根目录下新建一个web.config的配置文件,然后把下面的代码保存即可,如果已经有web.config文件,需要增加以下没重复出现的红颜色代码段以及改与自己相应的网址,IIS7.0以上的代码为:
web.config完整的代码如下:

       

<configuration>

<system.webServer>

        <rewrite>

            <rules>

                <!--301重定向把不带3W的域名 定向到带3W-->

                <rule name="301Redirect" stopProcessing="true">

                    <match url=".*" />

                    <conditions>

                        <add input="{HTTP_HOST}" pattern="^boroad.net$" />

                    </conditions>

                    <action type="Redirect" url="http://www.boroad.net/{R:0}" redirectType="Permanent" />

                </rule>

            </rules>

        </rewrite>

<directoryBrowse enabled="false" />

        <defaultDocument enabled="true">

            <files>

                <clear />

                <add value="index.html" />

                <add value="index.php" />

            </files>

        </defaultDocument>

        <httpProtocol>

            <customHeaders>

                <remove name="X-Powered-By" />

                <add name="X-Content-Type-Options" value="nosniff" />

                <add name="X-Frame-Options" value="DENY" />

                <add name="X-XSS-Protection" value="1; mode=block" />

            </customHeaders>

        </httpProtocol>

    </system.webServer>

</configuration>


上一篇:Web.config设置system.webServer详细参数介绍

下一篇:Web.config配置文件详解(网站程序员必看)

标签: host头host头攻击漏洞IIS
如没特殊注明,文章均为宜兴博路网络原创,转载请注明来自https://www.boroad.net/news/changjianwenti/2021/0528/302.html
相关文章推荐
ADODB.Connection 错误 '800a0e7a' 未找到提供程序
在本地电脑上安装的win7系统时,安装的IIS在运行asp网站时出现:ADODB.Connection 错误 '800a0e7a' 未找到提供程序。该程序可能未正确··· ...
IIS8.5配置网站后,访问不了不带www的网站。
Boroad接到宜兴市第二人民医院的反映说,不带www的域名yxsph.com不能访问了,宜兴博路网络boroad立即想到的是,让客户打开域名解析管理系统,查看了下域名解析情况,结··· ...
IIS7.5下的web.config 404错误页如何配置?
今天给客户一个网站做优化,宜兴博路网络做了以下几点优化配置: 1、全站网页结构调整,各页面的TDK设置,首页SEO优化合理布局。 2、全站网页伪静态配置。 3、不带www的网址跳转··· ...
IIS7.5检测到目标URL存在http host头攻击漏洞解决方式
详细描述 为了方便的获得网站域名,开发人员一般依赖于HTTP Host header。例如,在php里用_SERVER[HTTP_HOST]。但是这个header是不可信赖 ...
解决IIS8.5配置企业网站后台验证码不显示?
最近,给客户在服务器上配置了做调试了一个企业网站,在本上IIS测试一切正常,传到服务器上发现后台验证码不显示,为什么不显示呢?下面宜兴博路网络公司为大家如何解决这个问 ...
windows 2012+IIS8.0服务器如何安装?
博路网络经常会碰到给客户的服务器配置安装环境,比如我们网站常用的:php程序所需要的系统Cent OS 的服务器运行环境以及windows系统的IIS 服务器运行环境。这里主要介绍··· ...