OWASP ZAP は、Nginx サーバーが「プロキシ開示」に対して脆弱であることを発見しました。これを修正する手助けをいただければ幸いです。

tag-icon tag-icon nginx owasp
OWASP ZAP は、Nginx サーバーが「プロキシ開示」に対して脆弱であることを発見しました。これを修正する手助けをいただければ幸いです。

自分の Web サイトで OWASP ZAP を実行したところ、プロキシ開示アラートなどが表示されました。

委任状開示アラートhttps://www.zaproxy.org/docs/alerts/40025/

OWASPの説明 1台のプロキシサーバーが検出されたか、フィンガープリントされました。この情報は、潜在的な攻撃者が

  • アプリケーションに対する攻撃のターゲットのリスト。

  • アプリケーションにサービスを提供するプロキシ サーバーの潜在的な脆弱性。

  • アプリケーションに対する攻撃を検出、防止、または軽減する可能性のあるプロキシベースのコンポーネントの有無。

提案された解決策
プロキシ サーバーおよびオリジン Web/アプリケーション サーバーで 'TRACE' メソッドを無効にします。プロキシ サーバーおよびオリジン Web/アプリケーション サーバーで 'OPTIONS' メソッドを無効にします ('CORS' (Cross Origin Resource Sharing) などの他の目的で必要でない場合)。Web サーバーおよびアプリケーション サーバーをカスタム エラー ページを使用して構成し、存在しないページに対する 'TRACK' 要求などの HTTP エラーが発生した場合に、'フィンガープリント可能な' 製品固有のエラー ページがユーザーに漏洩するのを防ぎます。すべてのプロキシ、アプリケーション サーバー、および Web サーバーを構成して、'Server' および 'X-Powered-By' HTTP 応答ヘッダーのテクノロジとバージョン情報が漏洩しないようにします。

これまで私が試みたこと: 私はこれのアドバイスに従いましたWebサイトまた、nginx.conf に PATCH、TRACE、および OPTIONS を無効にする条件を追加しました。これが機能しているかどうか、また正しく実行したかどうかはわかりません。「すべてのプロキシ、アプリケーション サーバー、および Web サーバーを構成して、'Server' および 'X-Powered-By' HTTP 応答ヘッダー内のテクノロジとバージョン情報の漏洩を防ぐ」を修正するためのアドバイスはありますか? よろしくお願いします。

http-request-methods.html サーバー{ if ($request_method ~ ^(PATCH|TRACE|OPTIONS)$){ return 405; } }

nginx.conf:

user www-data;
worker_processes auto;
pid /run/nginx.pid;

events {
        worker_connections 768;
        # multi_accept on;
}

http {
        include /etc/nginx/proxy.conf;
        server_tokens off;

    ##
    # Basic Settings
    ##

    sendfile on;
    tcp_nopush on;
    tcp_nodelay on;
    keepalive_timeout 65;
    client_body_timeout 10;
    types_hash_max_size 2048;

    upstream portal {
            server 127.0.0.1:5002;
    }

    upstream api {
            server 127.0.0.1:5000;
    }
    
    include /etc/nginx/mime.types;
    default_type application/octet-stream;

    ##
    # SSL Settings
    ##

    ssl_protocols TLSv1.2; # Dropping SSLv3, ref: POODLE
    ssl_prefer_server_ciphers on;

    ##
    # Logging Settings
    ##

    log_format  main  '$remote_addr - $remote_user [$time_local] "$request" '
                      '$status $body_bytes_sent "$http_referer" '
                      '"$http_user_agent" "$http_x_forwarded_for"';

    access_log /var/log/nginx/access.log main;
    error_log /var/log/nginx/error.log;

    ##
    # Gzip Settings
    ##

    gzip on;
    gzip_disable "msie6";

    # gzip_vary on;
    # gzip_proxied any;
    # gzip_comp_level 6;
    # gzip_buffers 16 8k;
    # gzip_http_version 1.1;
    # gzip_types text/plain text/css application/json application/javascript text/xml applicati>

    ##
    # Virtual Host Configs
    ##

    include /etc/nginx/conf.d/*.conf;
    include /etc/nginx/sites-enabled/*;
    server{
            if ($request_method ~ ^(PATCH|TRACE|OPTIONS)$){
            return 405;
            }
    }
}

答え1

あなたは正しい方向に進んでいると思います。

「すべてのプロキシ、アプリケーション サーバー、および Web サーバーを構成して、'Server' および 'X-Powered-By' HTTP 応答ヘッダー内のテクノロジとバージョン情報の漏洩を防ぐ」を修正するためのアドバイスはありますか? よろしくお願いします。

server_tokens オフ;

proxy_hide_header X-Powered-By;

次に、Nginx をリロードします。

脆弱性が修正されたことを確認するために、別のテストを実行することをお勧めします。

関連情報