(本文档仅供参考)
问题
项目中有时候需要检验系统是否符合安全级别要求,会通过绿盟或Acunetix安全扫描工具扫描后发现了头攻击漏洞,具体如下:
测试报告给出的【解决办法】写的并不是很详细,网上对于Tomcat、Nginx等有很多配置方案可以从网上搜索参考解决,比如参考网上的文档:https://www.freebuf.com/articles/web/178315.html,但WebSphere的配置说明就很少了,那要如何解决这样的漏洞方式?
解决方案
说明:此类漏洞理论上服务器自身配置应该也是可以解决的,但因网上关于WebSphere服务器配置解决此问题的方案资料比较少,这个文档也只是整理一个方案供用户参考,若是实际验证不通过要求更严格的配置方式,需要自行咨询WebSphere厂商提供相关配置解决方案。
详细参考步骤如下:
可以尝试通过如下两个截图设置 default_host配置成允许访问的域名,这样的话,访问smartbi的时候只能是通过配置的域名访问。
1、进行WebSphere控制台界面,选择【环境】--》【虚拟机】---》【default_host】(通常smartbi应用端口是在default_host)-->【主机别名】
、
设置后的效果如下:
最后测试效果:以localhost方式没有办法访问smartbi,这样的话,进行http host头攻击漏洞的时候,并没有办法串改实际访问的网址。
如果是不是修改默认default_host,而是新建一个新的host配置主机别名的,需要进入以下两个入口重新设置主机信息,然后重启smartbi服务。
