【重要安全】解决宝塔面板启用 SSL 后 https 窜站问题,防止源站 IP 泄露

2021-12-25 12:16 4,480 19 条评论 龙笑天下
Dragon主题购买

2022.2.18:
宝塔终于修复这个问题了,从宝塔面板V7.9.0 开始,可以前往“网站-安全设置”里开启“https 防窜站”功能。
从宝塔面板 V8.0 开始,可以前往“网站-高级设置”里开启“HTTPS 防窜站”功能。
【重要安全】解决宝塔面板启用 SSL 后 https 窜站问题,防止源站 IP 泄露

1 前言

宝塔面板 https 串站

在这里引用宝塔官方说法:在未指定 SSL 默认站点时,未开启 SSL 的站点使用 HTTPS 会直接访问到已开启 SSL 的站点

【重要安全】解决宝塔面板启用 SSL 后 https 窜站问题,防止源站 IP 泄露

相信使用宝塔面板的盆友,应该都遇到过宝塔这个 https 串站问题。很多盆友遇到了,但忽略了它,觉得没啥影响的,就置之不理了...

置之不理肯定是不行的,不能有掩耳盗铃侥幸心理,通过这个漏洞,“大有可为”了!先不说串站可能会影响收录 SEO 这一点了,更重要的是它会导致一个不小的安全问题:你的源站 IP 正在泄露,即便你使用了CDN也不行!

至于怎么泄露源站 IP,这里只简单的说一下:可以直接通过 https://你服务器 IP 地址来访问,nginx 会向浏览器发送默认的 SSL 证书,通过查看证书详情可以找到对应的域名。详细了解请见下面的参考文章 1。

下面龙笑天就来说下本文重点了,怎么堵上这个串站、泄露源站 IP 的漏洞。使用宝塔面板的,跟着下面步骤一步步做就 OJBK 了;使用 LNMP 一键包或其它程序的,也可以参考着处理下。

2 新建虚假站点

2.1 新建站点

新建一个不存在的站点,域名填写为:default.default,提交,如下图:

【重要安全】解决宝塔面板启用 SSL 后 https 窜站问题,防止源站 IP 泄露

2.2 删除默认文件

点击下图红框,进入此站点根目录,删除里面的默认文件 index.html404.html

【重要安全】解决宝塔面板启用 SSL 后 https 窜站问题,防止源站 IP 泄露

3 配置 SSL 证书

回到宝塔“网站管理”,找到 default.default,点“设置”进入网站配置,然后点击“SSL”,如下图:

【重要安全】解决宝塔面板启用 SSL 后 https 窜站问题,防止源站 IP 泄露

然后密钥和证书填写如下,填写完毕,点保存:

当前内容已被隐藏,您需要登录才能查看

4 设置为默认站点

回到宝塔“网站管理”,如下图,将上面建立的这个站点设置为默认站点,提交:

【重要安全】解决宝塔面板启用 SSL 后 https 窜站问题,防止源站 IP 泄露

5 校验配置结果

至此,设置全部结束,访问 https://你服务器 IP,如果浏览器提示下图这样(“高级”里看不到自己服务器上的网站域名)或者显示“403 Forbidden”,那么恭喜你,漏洞已被堵上了!如果能访问到你网站,那么也“恭喜你”,你中这漏洞了~

【重要安全】解决宝塔面板启用 SSL 后 https 窜站问题,防止源站 IP 泄露

6 总结

整个过程,懂了原理就容易了,建立一个虚假域名默认站点,对应的自签一个虚假域名证书,OVER。PS:LNMP 一键包等其他环境也可以参考着弄一下~

另一个简单默认站点配置

7 相关参考

用 CDN 隐藏网站真实 IP 就万无一失了?一个蹊跷的网站正泄露你的站点 IP | 西枫里
宝塔面板 https 默认站点的处理办法 - Linux 面板 - 宝塔面板论坛
宝塔面板设置默认站点以及自签证书 – 预防使用 cdn 后泄露源站 IP - 大鸟博客
Nginx 超简单设置默认站点为空 - Hostloc

「点点赞赏,手留余香」

还没有人赞赏,快来当第一个赞赏的人吧!

声明:本文为原创文章,版权归所有,欢迎分享本文,转载请保留出处!

2021-12-13

2022-08-15

发表评论

表情 格式 贴图 链接 私密 签到
Dragon主题购买阿里云特价云服务器1核2G低至86元,N4共享型服务器3年仅需799元腾讯云特价云服务器1核2G 88元/年 2核4G3M688元/3年,更有千元代金券礼包免费领!
评论
正在努力加载中...
扫一扫二维码分享
×
We use cookies on our website to give you the most relevant experience by remembering your preferences and repeat visits. By clicking “Accept”, you consent to the use of ALL the cookies. Learn more