当前位置:懋和道人 > 文章 > 技术 > 解决宝塔面板启用SSL后https窜站问题

解决宝塔面板启用SSL后https窜站问题

懋和道人2024年12月20日技术2104
文章摘要
DaoGPT
此内容根据文章AI生成,并经过人工审核,仅用于文章内容的解释与总结
投诉

宝塔官方说法:在未指定 ssl 默认站点时,未开启 ssl 的站点使用 https 会直接访问到已开启 SSL 的站点

image.png

使用宝塔面板的朋友,应该都遇到过所谓的“https窜站”问题。许多人在发现这个问题时,往往选择忽视,认为它不会带来太大影响,因此没有采取任何处理措施。然而,这种忽视行为实际上是极为危险的——不能抱有“无关紧要”的侥幸心理。通过这个漏洞,攻击者可能会利用它进行一系列潜在的恶意操作。

首先,虽然窜站问题可能会影响SEO的收录,但更为严重的是,它会引发一系列安全隐患:最关键的是,你的源站IP地址有可能会被泄露,哪怕你已经启用了CDN加速,问题依然存在。那么,源站IP是如何泄露的呢?简而言之,攻击者可以通过直接访问服务器的IP地址(例如:HTTPS://你的服务器IP)来触发nginx返回默认的SSL证书。通过查看证书详情,攻击者就可以获取到与你站点相关域名信息,从而定位到源站IP,这为进一步攻击提供了线索。

接下来,本文将重点讲解如何修补这一“窜站”问题,防止源站IP泄露。使用宝塔面板的朋友,按照以下步骤操作即可有效防范。对于使用LNMP一键包或其他程序的朋友,也可以参考本指南进行相应的配置。

创建虚假站点

新建一个不存在的站点,域名填写为:default.default,提交,如下图:

image.png

删除创建好站点内的index.htnl和404.html

image.png

配置SSL证书

“密钥(KEY)”填:

-----BEGIN EC PRIVATE KEY-----
MIGkAgEBBDC/zr/8+7tnXWwC807kdbZQyxH/lRSpeRbHVgef7iE/CzWBk2uNiniq
WrFTdH0OiZGgBwYFK4EEACKhZANiAAT8Z1VwFf4SK0ND9Wi9x0BPfSiUbk+mPqtV
u/cUqBpqVi/ZzjLM7fmg5GtrDjyl625zkwmelkq50UdGGOdNt5NNM/CopQN94pHo
vHzOVFofBJ2mKKlHnsiVepLPMRWtSm4=
-----END EC PRIVATE KEY-----

“证书(PEM 格式)”填:

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

设置默认站点

image.png

校验配置结果

至此,所有设置已完成。接下来,访问HTTPS://你的服务器IP,如果浏览器提示如下所示(在“高级”选项中无法看到你服务器的域名),或者出现“403 Forbidden”错误那么恭喜你,漏洞已经成功堵住!如果依然能够访问到你的网站,那么“恭喜你”,说明你的服务器仍然暴露在这个漏洞之下,赶紧修复吧!

image.png

虽然宝塔在版本V7.9.0中已修复了这个问题,从此版本开始,你可以在“网站 - 安全设置”中启用“HTTPS防窜站”功能;而在宝塔V8.0及以后版本中,则可以在“网站 - 高级设置”中找到并开启“HTTPS防窜站”选项。然而,值得注意的是,这一修复并不能完全防止源站IP的泄露,因此仍建议按照本文的方法进一步加强配置,以确保安全性。

我的博客即将同步至腾讯云开发者社区,邀请大家一同入驻:https://cloud.tencent.com/developer/support-plan?invite_code=3ot4m02sdou8k

打赏
微信扫一扫支付
微信logo微信扫一扫,打赏作者吧~

扫描二维码推送至手机访问。

版权声明:本文由 懋和道人 发布,如需转载请遵循《声明》注明出处。

本文链接:https://www.dao.js.cn/new/2024122011545.shtml

分享给朋友:

“解决宝塔面板启用SSL后https窜站问题” 的相关文章

通过审计,排查是否有垃圾蜘蛛YisouSpider

通过审计,排查是否有垃圾蜘蛛YisouSpider

grep "YisouSpider" | awk '{print $2}' | sort&nb...

uptimerobot 的 ipv4 与 ipv6 列表

uptimerobot 的 ipv4 与 ipv6 列表

216.144.250.150 69.162.124.226 69.162.124.227 69.162.124.228 69.162.124.229 69.162.124.230 69....

MySQL中替换、更新字段及其它

MySQL中替换、更新字段及其它

有时候需要在表中更换一些字符串为NULL,可以使用下面的句子:update tablename set fieldname = "texts...

新年到,给你的网站加一个带对联的灯笼

新年到,给你的网站加一个带对联的灯笼

新年了,给自己的站点添个带对联的小灯笼吧。代码如下:!function (t) {     "function"&nb...

山西恶意CC的IP波段

山西恶意CC的IP波段

连日来,在较多的站长群里人人喊“被打”,纵使使用了CDN服务也没用,瞬间流量飙升。往往就单个较大的文件,如图片、CSS、JS文件等,急剧刷量,导致流量飙升,一些购买了付费服务的站长,甚至欠费若干。小道...

评论列表

越过山林
越过山林 IP:江苏省南通市  Google Chrome 92.0.4515.159  Samsung G900P 回复:
2024年12月20日

宝塔面板SSL启用,有效解决https窜站问题保障网站安全。

旺东
旺东 IP:甘肃省平凉市  Google Chrome 123.0.6312.80  Android 14 回复:
2024年12月23日

活到老,学到老,感谢分享

懋和道人 IP: 江苏省 南通市 QQBrowser 13.4.6233.400 Windows 10 x64 回复:
随便写写的,还是你们写的文章独到。
2024年12月25日
王九弦SZ·Ninty
王九弦SZ·Ninty IP: 广东省 潮州市  Google Chrome 132.0.0.0  Windows 10 x64 回复:
2025年01月21日

话说道长有没有遇到站点被镜像的情况?

懋和道人 IP: 江苏省 南通市 Google Chrome 94.0.4606.71 Windows 10 x64 回复:
我倒是没遇到过,难道你遇到过了吗?
2025年01月21日
王九弦SZ·Ninty IP: 广东省 潮州市 Google Chrome 132.0.0.0 Windows 10 x64 回复:
我也没遇到过,但是我认识的一些站长都遇到过
2025年01月21日
懋和道人 IP: 江苏省 南通市 Google Chrome 94.0.4606.71 Windows 10 x64 回复:
以前用织梦的时候,被镜像过,后来打官司的。
2025年01月21日

发表评论

访客

看不清,换一张

◎欢迎参与讨论,请在这里发表您的看法和观点。

请如实填写常用的真实邮箱,方便后续的回复邮件通知。