ngnix: aviso de segurança bem conhecido, acme-challenge

Navegue suas respostas
1

Primeiro, não tenho certeza se esse é o lugar certo para colocar minha pergunta. Mas isso está relacionado à configuração do ngnix feita pelo certbot no meu servidor. Adiciona a seguinte linha para o domínio na configuração

location ~ "^/.well-known/acme-challenge/(.*)$" {

default_type text/plain;

return 200 "$1.JNpbG5iba8ymsxdlOr_9u1lAMl4jlh8gr-rAXwFysMM"; }

Isso resulta na ativação do URL com inserção embutida em HTML, ou seja, se um usuário chamar http://domain/.well-known/acme-challenge/<h1>tag</h1> , uma página HTML será exibida com essa tag h1, que é registrada como alto risco de segurança em nossa verificação de segurança.

Não sei como consertar e se é realmente um problema de segurança? como não está relacionado aos meus arquivos de código, e não pode acessar nossos arquivos ou banco de dados diretamente. mas certamente pode ser usado para falsificação e hacks relacionados.

Por favor me guie.

    
por Sumit Gupta 22.06.2018 / 14:28

1 resposta

0

Nos locais de regex do Nginx, o padrão correspondente entre parênteses (.) é atribuído variável de $ 1 a $ 9, que pode ser usado posteriormente no bloco de localização. Nesse caso, o Nginx armazena parte da URL que corresponde a (. *) $ Em $ 1. No corpo da resposta, apenas substitui $ 1 (apareceu na declaração de retorno) com a parte correspondente.
Enquanto o risco de segurança estiver em causa, como o tipo padrão é text / plain, ele não deve ser interpretado como html. Se você seguiu o guia oficial da Certbot, não há necessidade de entrar em pânico. Existem outras maneiras de configurar o Certbot, que também podem manter os scanners de segurança satisfeitos, como simplesmente colocar um arquivo de texto no diretório acme-challenge.

    
por 23.06.2018 / 01:59

Tags

Openvpn vários clientes mesma máquina se eu escalar um serviço com um volume de ligação, o Docker Swarm criará um novo volume de ligação na segunda máquina?