nginx 防止X-Forwarded-For头伪造漏洞及防范

  • 1 漏洞描述
  • 2 修复建议
  • 3 修复过程
  • 4 验证结果

1 漏洞描述

X-Forwarded-For 作为 HTTP 请求的扩展头,在请求的过程中可以被直接的进行修改。正常情况下,我们所获得的 ips 第一部分应该是客户端 IP,但是如果客户端对 X-Forwarded-For 进行了修改,我们仍旧采用以上方法获得客户端 IP,那么客户端 IP 将会是被伪造过的。

2 修复建议

1、在直接对外的Nginx反向代理服务器上配置:proxy_set_header X-Forwarded-For $remote_addr;
2、如果有多层Nginx代理,内层的Nginx配置:proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

3 修复过程

原配置信息:

server {listen       8085;server_name  127.0.0.1;location /sys {proxy_pass http://127.0.0.1:8085/;proxy_http_version 1.1;proxy_set_header Host $host;proxy_set_header X-Real-IP $remote_addr;proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;proxy_set_header Upgrade $http_upgrade;proxy_set_header Connection "upgrade";}
}

修改后配置信息:

server {listen       8085;server_name  127.0.0.1;location /sys {proxy_pass http://127.0.0.1:8085/;proxy_http_version 1.1;proxy_set_header Host $host;proxy_set_header X-Real-IP $remote_addr;# 防止X-Forwarded-For头伪造的主要设置在这里proxy_set_header X-Forwarded-For $remote_addr;proxy_set_header Upgrade $http_upgrade;proxy_set_header Connection "upgrade";}
}

4 验证结果

  • 测试方法:通过postman伪造客户端IP

  • 修改前,日志获取的操作IP地址存在伪造的IP地址

  • 修改后,日志获取的操作IPd地址正常

nginx X-Forwarded-For头伪造漏洞及防范相关推荐

  1. 【悟空云课堂】第十期:日志伪造漏洞(CWE-117: Improper Output Neutralization for Logs)

    关注公众号"中科天齐软件安全中心"(id:woocoom),一起涨知识! 该栏目为中科天齐全新规划的悟空云课堂,每周五下午18:00准时上线,旨在科普软件安全相关知识,助力企业有效 ...

  2. 检测到目标URL存在http host头攻击漏洞

    一.前言 漏洞描述:为了方便的获得网站域名,开发人员一般依赖于HTTP Host header.例如,在php里用_SERVER["HTTP_HOST"].但是这个header是不 ...

  3. 邮箱伪造漏洞、钓鱼邮件漏洞(未添加SPF导致)

    目录 0x00 背景 0x01 细节 0x02 测试方法 0x03 漏洞利用 0x04 防御 参考文献: 0x00 背景 邮箱伪造技术,可被用来做钓鱼攻击. 即伪造管理员或者IT运维部等邮箱发邮件,获 ...

  4. 文件上传漏洞总结(含原因+防御措施)+白名单+黑名单+内容、头+解析漏洞/修补方案

    文件上传漏洞简单总结+白名单+黑名单+内容.头+解析漏洞/修补方案 问题 什么是文件上传漏洞? 危害? 防御措施? 文件上传(验证/绕过)措施? 前端 js类绕过? 后端 黑名单绕过 特殊解析后缀 . ...

  5. java host头攻击漏洞_Java Web项目漏洞:检测到目标URL存在http host头攻击漏洞解决办法...

    检测到目标URL存在http host头攻击漏洞 详细描述 为了方便的获得网站域名,开发人员一般依赖于HTTP Host header.例如,在php里用_SERVER["HTTP_HOST ...

  6. 目标URL存在http_host头攻击漏洞复现及修复

    目标URL存在http_host头攻击漏洞复现及修复 文章目录 目标URL存在http_host头攻击漏洞复现及修复 漏洞说明 漏洞描述 危险等级 修复建议 漏洞复现 curl测试方法 BurpSui ...

  7. 检测到目标URL存在http host头攻击漏洞,修复方案:在Web服务器防止Host头攻击

    一.前言 漏洞描述:为了方便的获得网站域名,开发人员一般依赖于HTTP Host header.例如,在php里用_SERVER["HTTP_HOST"].但是这个header是不 ...

  8. WordPress qTranslate插件跨站请求伪造漏洞

    漏洞名称: WordPress qTranslate插件跨站请求伪造漏洞 CNNVD编号: CNNVD-201306-058 发布时间: 2013-06-07 更新时间: 2013-06-07 危害等 ...

  9. Weblogic服务端请求伪造漏洞(SSRF)和反射型跨站请求伪造漏洞(CSS)修复教程...

    一.服务端请求伪造漏洞 服务端请求伪造(Server-Side Request Forgery),是指Web服务提供从用户指定的URL读取数据并展示功能又未对用户输入的URL进行过滤,导致攻击者可借助 ...

最新文章

  1. 序列元素IT面试题——判断合法出栈序列
  2. php多文件上传存储到表,PHP 实现一种多文件上传的方法
  3. svg载入html,SVG系列教程:SVG简介与嵌入HTML页面的方式
  4. 丁丁打折网卷能用吗_超市货架上就能买到的好用护发素,平价好用,打折时可以多囤点...
  5. torch.backends.cudnn.benchmark--提升卷积神经网络的运行速度
  6. [ES6] 细化ES6之 -- 字符串的扩展
  7. java知识点(记录用)
  8. 系统批量运维管理器Fabric详解
  9. php wordpress乱码,PHP問題:基于WordPress的CMS网站在文章摘要末尾出现乱码
  10. Linux内核分析(六) 文件系统
  11. mysql 联合表(federated)及视图
  12. mysql 多选数据类型_【多选题】Mysql定点数数据类型包括( )。【本题2项正确】...
  13. labjs 分析转载
  14. der解码规则_JAVA解析各种编码密钥对(DER、PEM、openssh公钥) | 学步园
  15. 域名投毒,DNS污染,域名欺骗,其实就是域名污染。
  16. windows装机硬盘超过2T问题
  17. 以太坊EVM智能合约交易信息中Input和Logs解码
  18. Top-down Visual Saliency Guided by Captions
  19. 【无人驾驶 | 国内篇】主要玩家介绍
  20. excel高效之删除空行

热门文章

  1. 随手记_英语_留学生千万不能犯的Email Communication的禁忌
  2. 无界XR落地工体元宇宙:不仅是球赛,还有XR社交新玩法
  3. excel数据生成txt逗号分隔文本及末尾添加新列
  4. 金融时间序列分析:第3版
  5. MySQL条件筛选的使用
  6. 718保时捷spyder_保时捷发布718 Cayman GT4/718 Spyder官图
  7. python爬取携程网游记_网页爬虫 - 用python selenium抓取携程信息
  8. C语言/C++基础之樱花之歌
  9. 无法找到CCTV直播MP4地址?七十行代码,简单使用FFplay直接观看还是下载CCTV栏目都轻松搞定(Python利用FLVCD硕鼠解析CCTV直播,FFplay播放并下载视频)
  10. android APP集成系统详细步骤及注意事项(amlogic平台)