TongHttpServer中间件修复HTTP 响应头 Server 泄露框架信息漏洞

已于 2024-11-01 14:29:51 修改
阅读量500 收藏
点赞数 3
文章标签: 反向代理 安全漏洞 TongHttpServer
于 2024-10-25 16:47:57 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/bekote/article/details/143237927
版权

用东方通的中间件TongHttpServer做反向代理,配置项跟nginx基本上一样,但是nginx要去除响应头需要安装新模块

漏洞修复:在应用程序中发现不必要的 Http 响应头_nginx_SangBigYe-GitCode 开源社区 (youkuaiyun.com)

百度了两天,总算是成功找到解决方法了

TongHttpServer和openresty差不多,相当于可以支持lua开发的nginx,就可以在配置文件里写lua脚本了

使用openresty通过lua修改请求/响应头_openresty 修改响应内容-优快云博客

配置文件httpserver.conf 里的代理配置末尾都加一层过滤器,用预定义的Lua脚本修改把每一个请求的Server响应头置为空就行了,甚至如果想自定义值也可以

location / {
 proxy_pass http://web;
 header_filter_by_lua 'ngx.header.Server = nil';
}

HTTP响应头相关漏洞
谢公子的博客
11-25 3663
目录 X-Frame-Options(点击劫持) 会话Cookie中缺少Http Only属性 检测到目标URL启用了不安全的HTTP方法 X-XSS-Protection X-Content-Type-Options Strict-Transport-Security X-Content-Security-Policy 一些大公司使用这些安全响应头示例 X-Frame-Opt...
【Golang】关于Gin框架中的中间件
热门推荐
景天科技苑
10-22 6万+
中间件是Gin框架中的一个核心概念,它允许开发者在处理HTTP请求的过程中插入自定义的钩子函数,从而实现诸如日志记录、身份验证、权限控制等公共逻辑。本文将结合实际案例,详细讲解Gin框架中间件的用法。
TongWeb7-漏洞相关
weixin_39938069的博客
11-17 1087
Transfer-Encoding: chunked 头进行解析,而是以 Content-Length 作。链接:https://pan.baidu.com/s/1CnJxebOXaC1STrQwIyPmCw。未受影响版本:TongWeb6.1.5.x 系列、TongWeb8.0 系列、TongWeb7.0.C.3 至 7.0.C.5 版本。问题已在最新版本 TongWeb7.0.4.9_M2、根据该描述应为之前已解决的远程代码执行问题,该。TongWeb7.0.C.6 解决,或打。
东方通THS(TongHttpServer)安装启动教程(亲测)
最新发布
hjbjmn的博客
03-19 419
国产化平替Nginx
HTTP 响应头 Server 泄露框架信息漏洞 处理方法
jizhisoft的专栏
01-31 1899
产生原因 应用服务器会再给浏览器的返回信息中表明自己的版本号,但这点可能会被攻击者利用,属于低危漏洞
隐藏nginx响应头中的server信息HTTP服务器版本信息泄漏)
jugt的博客
06-04 2310
安全审计中有时会有漏洞名称 HTTP服务器版本信息泄漏 漏洞描述目标服务器返回的信息头中包含了Web Server的软件或者版本信息。可以安装 nginx的headers-more-nginx-module模块修改或隐藏响应头信息
HTTP响应头信息泄露
总有人间一两风,填我十万八千梦
03-29 8258
一. 漏洞描述 由于服务端未进行限制,导致攻击者可通过响应包的server获取中间件版本信息 二. 例子 三. 修复 在配置文件中进行配置,避免泄露中间件版本
TongHttpserver
weixin_45053774的博客
04-14 960
主程序配置文件根据逻辑意义不同,分成不同的作用域,不同作用域含有不同的配置项,main 作用域无大括号,其他作用域都由作用域名加大括号标识,配置可以在多个作用域中有效,如 access_log 在 httpserver、location 作用域都有效。 serverhttp、stream、mail 支持多个虚拟主机,每个虚拟主机对应一个 server 配置项。 main:与具体业务无关的配置,如进程数、运行用户,错误日志等,为配置文件中块外配置。 stream:TCP、UDP 相关配置参数。
信息泄露漏洞挖掘技巧20200429.docx
04-29
总计信息泄露漏洞的挖掘、利用、修补方式,主要包括.svn源代码泄露.git源代码泄露httpsys漏洞检测以及利用方式,常见中间件的后台登录页面以及默认用户名密码。用于挖掘常见信息泄露漏洞,仅供学习使用
服务器中间件版本信息泄露,中间件版本信息泄露漏洞
weixin_42427302的博客
08-05 5760
中间件版本信息泄露漏洞《Web安全测试学习手册》- 中间件版本信息泄露漏洞0x00 中间件版本信息泄露漏洞1)什么是中间件版本信息泄露漏洞通常在HTTP报文的响应头中存在的标志、版本号等信息均属于中间件的版本信息泄露漏洞。2)中间件版本信息泄露漏洞的特点通常出现在默认安装好的Web中间件上,大部分管理员都不会修改这个标志。0x01 中间件版本信息泄露漏洞 - 风险等级低0x02 中间件版本信息泄露...
web中间件常见漏洞总结.pdf
12-14
5. **目录遍历**:此漏洞允许攻击者访问服务器上本应受保护的目录和文件,包括源代码、配置文件等,可能导致敏感信息泄露。 6. **不安全的身份验证和会话管理**:若Web中间件的身份验证机制有误,如弱密码策略、...
TongHttpServer(THS) THS_x86.tar.gz
12-21
TongHttpServer(THS)是一款功能强大、稳定高效、高性价比、易于使用、便于维护的负载均衡软件产品。THS 不仅可以满足用户对负载均衡服务的需求,提升系统可靠性、高效性、可扩展性及资源利用率,还具有很高的性价比,可以有效降低系统的建设成本、维护成本,并且使用简单、维护便捷。
TongHttpServer6.0.1- 高效稳定的HTTP服务器资源
02-20
TongHttpServer 适用于各种需要高性能HTTP服务器的场景,如Web应用、RESTful API、实时通信等。无论您是个人开发者还是企业团队,TongHttpServer 都能为您提供强大的支持。
TongHttpServer6.0.0.2
02-27
TongHttpServer6.0.0.2
TongHttpserver用户手册
02-20
资源描述: TongHttpServer用户手册 - 详尽指引,助您轻松驾驭高性能HTTP服务器 内容概述: TongHttpServer用户手册是一份为开发者精心打造的详尽指南,旨在帮助用户全面了解、安装、配置和使用TongHttpServer。无论您是初次接触TongHttpServer的新手,还是希望深入了解其高级功能的资深开发者,本手册都将为您提供全面且实用的信息。 手册特色: 详尽全面:手册涵盖了TongHttpServer的所有核心功能和模块,包括安装步骤、配置选项、API详解、性能优化等各个方面。 实例丰富:通过大量实例和代码片段,帮助用户更好地理解如何使用TongHttpServer的各种功能,并指导用户解决常见问题和挑战。 图文并茂:手册采用图文并茂的方式,通过清晰的截图和流程图,帮助用户更好地理解复杂的概念和流程。 易于阅读:手册采用简洁明了的语言,条理清晰的结构,使读者能够快速定位所需信息,提高学习效率。 适用人群: 本手册适用于所有使用TongHttpServer的开发者,包括但不限于Web应用开发者、系统架构师、运维工程师等。无论您是初学者
中间件漏洞详解
06-11
本课程分别从iis5.x/6、iis7、apache三个中间件漏洞进行分析,首先从原理上介绍形成该漏洞的原因,而后通过实战的形式演示怎么利用这三种漏洞对服务器进行攻击。
nginx解决不必要的 Http 响应头漏洞(自定义server信息及隐藏版本号)
weixin_43872895的博客
05-10 3256
nginx解决不必要的 Http 响应头漏洞(自定义server信息及隐藏版本号)
Tonghttpserver6.0.1.0部署指引优化版+基本操作指引+部分问题收集持续更新(by lqw)
weixin_39938069的博客
03-22 6069
检查一下(自动安装的一般这里不需要配,手动安装的需要配置host为控制台ip,grpcport建议使用49150,除非在配置控制台的grpc相关配置文件的时候,你把这个端口给改了)新建分组后,如果单个节点加入到分组,之前配置的文件会统一到同一个http.conf里,所以单个节点加入前,如果已经做了配置的,请一定做好配置的备份!如果你是需要多个ths节点的,后面要配反向代理的,这一步请不要跳过,如果只是需要单个节点的,可以先跳过这一步。若不配置,则会影响 webshell,导致安装包无法下载。
Tonghttpserver6.0.1.3 使用整理(by lqw)
weixin_39938069的博客
12-26 2247
两种情况的区别只在于是否配置conf目录下的httpserverHA.conf(里面要配网卡信息,浮动ip信息等),本质都是直接解压THS的安装包(例如x86环境下的TongHttpServer_6.0.1.3_x86_64.tar.gz),解压后放入授权文件,执行脚本启动(单机版和集群高可用都需要执行./start.sh 进行启动 ,高可用的还需要执行./startHA.sh)。这是因为控制台限制,只能用root操作,所以遇到这种提示,多数是因为文件权限和属主都是普通用户,并非报错。
IIS中间件漏洞分析及修复策略
"这篇文档是关于Web中间件常见漏洞的总结,主要针对微软的IIS (Internet Information Services)。文档详细介绍了IIS6.x和IIS7.x版本中的解析漏洞、上传安全问题以及修复建议。" 在Web开发中,中间件扮演着至关重要...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

bekote

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值