Назад | Перейти на главную страницу

Метод CONNECT, разрешенный в уязвимости HTTP-сервера или HTTP-прокси-сервера

Детали моей настройки:

Я заблокировал метод подключения на http-сервере apache, используя конфигурацию ниже. Но все же уязвимость метода подключения сохраняется. Мне нужно что-то делать на стороне NodeJS?

RewriteCond% {REQUEST_METHOD}! ^ (GET | POST | PUT | DELETE | HEAD)
RewriteRule. * - [R = 405, L]

Самая распространенная причина такой общей проблемы - не включение mod_rewrite с RewriteEngine on в контексте вы RewriteRule был размещен.

Однако, даже если это так, я бы предложил использовать <Limit> или <LimitExcept> блоки, а еще лучше не загружать mod_proxy_connect вообще так, чтобы CONNECT метод не может быть использован. Если это, конечно, обрабатывается вашим приложением, его также необходимо отключить.

Дополнительная информация после комментариев:

Делать не изменить <Directory /> блок, который поставляется с вашей конфигурацией, его следует оставить как есть.

Кроме того, не ставьте (как я сказал в своих комментариях) <Limit> блок внутри другого блока (в вашем случае <Directory> блок. Директивы конфигурации в <Directory> блокировка вступает в силу только в том случае, если запрос сопоставлен с файловой системой, но вы проксируете / в другую службу на example.com, что значит нет запросы отображаются в файловую систему, и поэтому ваш <Limit> блокировка никогда не вступит в силу.