域名访问限制不严格漏洞 修复

背景

2022年9月22日13:35:05
上午正在自习室"乱杀"考研数学题,一个网警大队的电话打来...
他告诉我,我的网站存在域名访问限制不严格漏洞
image
文件内容
image

啥意思?

网上了解了下,就是没有限制用户直接用IP访问网站

image

图中的方式是不被允许的,我们要强制让用户用域名 www.hugboy.site 来访问,否则就不提供服务

修复方法

在配置文件nginx.conf的服务server里,加上判断代码


  if ($host != 'www.hugboy.site') {
      return 403;
  }

我后台用的宝塔,修改很方便

image

检查用户请求host是否为域名,否则返回403

修复结果

此时用IP地址无法访问

image

域名访问正常

image

参考

nginx禁止IP访问,仅供域名访问(域名访问限制不严格漏洞)

posted @ 2022-09-22 14:04  HUGBOY  阅读(676)  评论(1编辑  收藏  举报