OWASP ZAP 发现 Nginx 服务器易受“代理泄露”攻击。如能帮助修复此问题,我们将不胜感激

tag-icon tag-icon nginx owasp
OWASP ZAP 发现 Nginx 服务器易受“代理泄露”攻击。如能帮助修复此问题,我们将不胜感激

我在我的网站上执行了 OWASP ZAP,它除其他事项外还引发了代理披露警报。

代理披露警报https://www.zaproxy.org/docs/alerts/40025/

OWASP 描述 检测到或提取了 1 个代理服务器的指纹。此信息可帮助潜在攻击者确定

  • 针对应用程序的攻击目标列表。

  • 为应用程序提供服务的代理服务器上存在潜在漏洞。

  • 是否存在任何基于代理的组件,这些组件可能会导致针对应用程序的攻击被检测、阻止或缓解。

建议的解决方案
禁用代理服务器以及原始 Web/应用服务器上的“TRACE”方法。如果其他目的(如“CORS”(跨源资源共享))不需要“OPTIONS”方法,则禁用代理服务器以及原始 Web/应用服务器上的“OPTIONS”方法。使用自定义错误页面配置 Web 和应用服务器,以防止在发生 HTTP 错误(如对不存在页面的“TRACK”请求)时将“可指纹识别”的特定产品错误页面泄露给用户。配置所有代理、应用服务器和 Web 服务器,以防止泄露“Server”和“X-Powered-By”HTTP 响应标头中的技术和版本信息。

我迄今为止所做的尝试: 我听从了网站并在 nginx.conf 中添加了禁用 PATCH、TRACE 和 OPTIONS 的条件。不确定这是否有效以及我是否做得正确。有没有关于修复“配置所有代理、应用程序服务器和 Web 服务器以防止泄露‘服务器’和‘X-Powered-By’HTTP 响应标头中的技术和版本信息”的建议?谢谢。

http-request-methods.html 服务器{ if ($request_method ~ ^(PATCH|TRACE|OPTIONS)$){ return 405; } }

nginx.conf:

user www-data;
worker_processes auto;
pid /run/nginx.pid;

events {
        worker_connections 768;
        # multi_accept on;
}

http {
        include /etc/nginx/proxy.conf;
        server_tokens off;

    ##
    # Basic Settings
    ##

    sendfile on;
    tcp_nopush on;
    tcp_nodelay on;
    keepalive_timeout 65;
    client_body_timeout 10;
    types_hash_max_size 2048;

    upstream portal {
            server 127.0.0.1:5002;
    }

    upstream api {
            server 127.0.0.1:5000;
    }
    
    include /etc/nginx/mime.types;
    default_type application/octet-stream;

    ##
    # SSL Settings
    ##

    ssl_protocols TLSv1.2; # Dropping SSLv3, ref: POODLE
    ssl_prefer_server_ciphers on;

    ##
    # Logging Settings
    ##

    log_format  main  '$remote_addr - $remote_user [$time_local] "$request" '
                      '$status $body_bytes_sent "$http_referer" '
                      '"$http_user_agent" "$http_x_forwarded_for"';

    access_log /var/log/nginx/access.log main;
    error_log /var/log/nginx/error.log;

    ##
    # Gzip Settings
    ##

    gzip on;
    gzip_disable "msie6";

    # gzip_vary on;
    # gzip_proxied any;
    # gzip_comp_level 6;
    # gzip_buffers 16 8k;
    # gzip_http_version 1.1;
    # gzip_types text/plain text/css application/json application/javascript text/xml applicati>

    ##
    # Virtual Host Configs
    ##

    include /etc/nginx/conf.d/*.conf;
    include /etc/nginx/sites-enabled/*;
    server{
            if ($request_method ~ ^(PATCH|TRACE|OPTIONS)$){
            return 405;
            }
    }
}

答案1

我认为你的思路是对的。

有没有关于修复“配置所有代理、应用程序服务器和 Web 服务器以防止泄露‘服务器’和‘X-Powered-By’HTTP 响应标头中的技术和版本信息”的建议?谢谢。

服务器令牌关闭;

proxy_hide_header X-技术支持-By;

然后重新加载 Nginx。

您可能需要运行另一个测试来确保您已修复漏洞。

相关内容