减轻对Oracle WebLogic Server的主机头攻击
免费下载
减轻对
Oracle WebLogic Server
的主机头攻击
1
、主机头攻击概念
通常,我们一台服务器上不止有一个
程序,很多情况下都有几个
程序,也就是说这几个
程序共用一个
地址。当我们配置基于端口
的虚拟主机,这是没有什么问题的,不同的
程序可以通过不同的端口来判
断。但是,当我们配置基于域名的虚拟主机时,几个
程序共用一个
地
址
这里我们假设为
和一个端口
这里我们假设为
端
口
。那么,当客户端请求都发到了服务器的
端口,服务器怎么判断这条
请求是发送给哪个
程序的呢?这时候,
头出现了,
头指定了应
该由哪个网站或是
应用程序来处理一个传入的
请求。
服务器
使用该头部的值来将请求分派到指定的网站或
应用程序之上。即应用程序
信任了请求来源的
字段。
2
、
jsp
常见的代码书写
<script type="text/javascript" src="<%=
%>/js/zcms/test.js"></script>
<script src="<%= !"%>
/manage/test.js"></script>
<script type="text/javascript" src="$
{ !# !"}/scripts/test.js"></script>
上面的几种加载路径,背后都是通过
"
取得
$"
地址,再拼接上固定
的内容。这个时候,假如
"
头被改掉了,比如改成
!!!$#%
。
然后这时你在加载的
&"
文件,可能就来源于某网站中已做好陷阱的
&"
文件了。
这样,黑客就能拿到你的
#'
、用户名、密码等关键数据。这就是著名的
"
头攻击。
3
、
weblogic
配置避免主机头攻击
3.1
范围
适用于
oracle weblogic server 10.3.6
和更高版本
3.2
配置方式
Oracle
强烈建议通过配置
WebLogic Server
域的前端主机
/
端口或在应用程序
的
weblogic.xml
中配置
redirect-with-absolute-url
选项来配置
WebLogic
以避免
HOST
标头攻击。
redirect-with-absolute-url
元件控制是否将
javax.servlet.h"p.H"pServletResponse.SendRedirect()
方法重
定向使用相对或绝对
URL
。如果使用的是代理
HTTP
服务器,并且不想将
URL
转
换为非相对链接,则将此元素设置为
false
。默认为
false
。
将
weblogic.xml
中的
redirect-with-absolute-url
设置为
false:
必须在
"("
规范
)*
""
和
+$
规范的重定向响应的“位置”
标头中使用绝对
URL
。
在更新的
"("
规范
)*," "
""""
中
" "
,允许在重定向响应的“位置”标头
中使用相对
URL
(更安全)。
将
weblogic.xml
中的
redirect-with-absolute-url
设置为
true:
如果将“
-#..$.$/
选项配置为“
/
,则将在
0#
:标头中使用绝对
1)0
。
of 9
免费下载
【版权声明】本文为墨天轮用户原创内容,转载时必须标注文档的来源(墨天轮),文档链接,文档作者等基本信息,否则作者和墨天轮有权追究责任。如果您发现墨天轮中有涉嫌抄袭或者侵权的内容,欢迎发送邮件至:contact@modb.pro进行举报,并提供相关证据,一经查实,墨天轮将立刻删除相关内容。
下载排行榜
文档被以下合辑收录
评论