Во-первых, я не уверен, что это подходящее место, чтобы задать свой вопрос. Но это связано с настройкой ngnix, выполненной certbot на моем сервере. Он добавляет следующую строку для домена в конфигурации
местоположение ~ "^ /. well-known / acme-challenge /(.*)$" {
default_type текст / простой;
return 200 "$ 1.JNpbG5iba8ymsxdlOr_9u1lAMl4jlh8gr-rAXwFysMM"; }
Это приводит к активации URL-адреса со встроенной вставкой в HTML, т.е. если пользователь вызывает http://domain/.well-known/acme-challenge/<h1>tag</h1>тогда появляется HTML-страница с этим тегом h1, который в нашем сканировании записан как высокий риск безопасности.
Не знаю, как исправить, и действительно ли это проблема безопасности? поскольку это не связано с моими файлами кода и не может напрямую обращаться к нашим файлам или базе данных. но, безусловно, его можно использовать для подделки и связанных с ним взломов.
Пожалуйста, направь меня.
В расположениях регулярных выражений Nginx сопоставленному шаблону в круглых скобках (.) Назначается переменная от $ 1 до $ 9, которую можно использовать позже в блоке расположения. В этом случае Nginx хранит часть URL-адреса, соответствующего (. *) $, В $ 1. В теле ответа он просто заменяет $ 1 (появившийся в операторе возврата) на соответствующую часть.
Что касается риска для безопасности, поскольку тип по умолчанию - text / plain, его не следует интерпретировать как html. Если вы следовали официальному руководству Certbot, не нужно паниковать. Есть и другие способы настройки Certbot, которые также могут порадовать сканеры безопасности, например, просто поместить текстовый файл в каталог acme-challenge.