【待反馈】网站开启SSL之后,HOST配置失效
面板:8.1.0插件版本:nginx 1.22.1 php: 5.6系统版本:CentOS 7
问题描述:请教各位大佬,因网站检查出来有Host头攻击漏洞,需要修复,经过使用ModHeader做HOST攻击测试发现,只要网站没有开启SSL,那么Host配置是生效的;只要是网站开启了SSL配置,那么Host配置就不生效,并且未开启SSL的网站检查是可以看到请求标头中的HOST开启HTTPS后,网站检查处请求标头中是没有HOST的
百度上搜索出来均是在NGINX上添加如下代码,但是均不生效
server {
listen 80 default_server;
server_name_;
access_log off;
return 403;
}
1、防火墙应该是没有问题的,因为网站未开启SSL时,HOST是正常的
2、浏览器缓存应该也没问题,已经清过很多次,并且换过电脑测试
3、服务器也已多次重启,SSL证书也检查是正常的
在此请问有没有大佬能给出点提示或者思路从哪里调整
您好,可以通过下面的思路排查一下:
1、检查Web服务器的SSL/TLS配置,确保它正确地处理了Host头。不同的Web服务器(如Apache、Nginx、IIS等)有不同的配置方式和参数
2、如果你的应用(如PHP、Node.js、Python等)有处理HTTP请求的中间件或框架,检查它们是否正确地处理了Host头,特别是当使用HTTPS时
3、虽然你已经检查过SSL证书是正常的,但请确保中间设备(如负载均衡器、CDN、WAF等)也支持SSL,并且它们的配置没有阻止或修改Host头
4、如果你的网站使用了SNI(Server Name Indication),确保所有中间设备都支持SNI,并且配置正确
页:
[1]