【重要安全】解决宝塔面板启用SSL后https窜站问题,防止源站IP泄露 |
您所在的位置:网站首页 › ssl协议未开启什么意思啊 › 【重要安全】解决宝塔面板启用SSL后https窜站问题,防止源站IP泄露 |
其它 【重要安全】解决宝塔面板启用 SSL 后 https 窜站问题,防止源站 IP 泄露 2021-12-25 12:16 5,009 19 条评论 龙笑天下 29 ![]() ![]() 便宜的 1 年长期限的单域名和通配符 Https 证书,可前往龙笑天下商店购买,推荐买多年最优惠: ![]() 在这里引用宝塔官方说法:在未指定 SSL 默认站点时,未开启 SSL 的站点使用 HTTPS 会直接访问到已开启 SSL 的站点 相信使用宝塔面板的盆友,应该都遇到过宝塔这个 https 串站问题。很多盆友遇到了,但忽略了它,觉得没啥影响的,就置之不理了... 置之不理肯定是不行的,不能有掩耳盗铃侥幸心理,通过这个漏洞,“大有可为”了!先不说串站可能会影响收录 SEO 这一点了,更重要的是它会导致一个不小的安全问题:你的源站 IP 正在泄露,即便你使用了CDN也不行! 至于怎么泄露源站 IP,这里只简单的说一下:可以直接通过 https://你服务器 IP 地址来访问,nginx 会向浏览器发送默认的 SSL 证书,通过查看证书详情可以找到对应的域名。详细了解请见下面的参考文章 1。 下面龙笑天就来说下本文重点了,怎么堵上这个串站、泄露源站 IP 的漏洞。使用宝塔面板的,跟着下面步骤一步步做就 OJBK 了;使用 LNMP 一键包或其它程序的,也可以参考着处理下。 2 新建虚假站点 2.1 新建站点新建一个不存在的站点,域名填写为:default.default,提交,如下图: 点击下图红框,进入此站点根目录,删除里面的默认文件 index.html 和 404.html: 回到宝塔“网站管理”,找到 default.default,点“设置”进入网站配置,然后点击“SSL”,如下图: 然后密钥和证书填写如下,填写完毕,点保存: 当前内容已被隐藏,您需要登录才能查看 4 设置为默认站点回到宝塔“网站管理”,如下图,将上面建立的这个站点设置为默认站点,提交: 至此,设置全部结束,访问 https://你服务器 IP,如果浏览器提示下图这样(“高级”里看不到自己服务器上的网站域名)或者显示“403 Forbidden”,那么恭喜你,漏洞已被堵上了!如果能访问到你网站,那么也“恭喜你”,你中这漏洞了~ 整个过程,懂了原理就容易了,建立一个虚假域名默认站点,对应的自签一个虚假域名证书,OVER。PS:LNMP 一键包等其他环境也可以参考着弄一下~ 另一个简单默认站点配置 server { listen 80 default_server; listen [::]:80 default_server; listen 443 ssl default_server; listen [::]:443 ssl default_server; server_name _; set $empty ""; ssl_ciphers aNULL; ssl_certificate data:$empty; ssl_certificate_key data:$empty; return 444; } 7 相关参考用 CDN 隐藏网站真实 IP 就万无一失了?一个蹊跷的网站正泄露你的站点 IP | 西枫里 宝塔面板 https 默认站点的处理办法 - Linux 面板 - 宝塔面板论坛 宝塔面板设置默认站点以及自签证书 – 预防使用 cdn 后泄露源站 IP - 大鸟博客 Nginx 超简单设置默认站点为空 - Hostloc 「点点赞赏,手留余香」还没有人赞赏,快来当第一个赞赏的人吧! ![]() ![]() ![]() ![]() ![]() ![]() ![]() 声明:本文为原创文章,版权归龙笑天下所有,欢迎分享本文,转载请保留出处! 点赞 29 收藏 2 海报 分享到: 微博 空间 复制链接 下载海报 (分享到微信或朋友圈请下载海报) 分享到: 扫一扫,分享本文 |
今日新闻 |
点击排行 |
|
推荐新闻 |
图片新闻 |
|
专题文章 |
CopyRight 2018-2019 实验室设备网 版权所有 win10的实时保护怎么永久关闭 |