承接上文
我们先来重现一下 nginx 的这个“漏洞”
首先，nginx 的配置文件如下，很干净整洁：

▲ 这是一个很常见的配置，估计很多人这么用了很久，觉得没啥问题。
PS：ssl_session_timeout 30秒ssl会话保持时间是我为了调试方便特意这么设的，诸位不要这么设，用默认的就行。

这个时候，黑客来了，此时，他啥都不知道，他只是通过 IP 扫描工具扫到了你的服务器的IP是在线状态。
然后他直接把你的ip前面加上 https:// 用浏览器来访问。

▲ 上面的配置文件中，我并没有设置 default_server 默认网站，nginx 依然给黑客大哥返回了我网站的证书。
原来 nginx 的逻辑是这样的：
客户端请求了一个压根没有配置的主机名(这里就是ip地址)，nginx 服务端看到请求来都来了。总不能让客人空手而归，会把配置文件里面找到的第一个虚拟主机配置返回给客户端，因为请求的是443端口，所以会返回配置文件里面第一个https站点。
此时，黑客大哥就拿到了你的网站的域名跟与其对应的真实IP，你通过 CDN 隐藏网站真实 IP 的想法梦碎了。

nginx 泄漏 CDN 后的 IP

https://nginx.org/en/docs/http/ngx_http_ssl_module.html#ssl_reject_handshake

上面是 nginx 方官 的建议，若你的 default_server 另有用途，可以用如下的设置：

server {
    listen 443 ssl;
    server_name 43.138.139.189;
    ssl_reject_handshake on;
}

或者你可以用空证书设置▼

server {
    listen 443 ssl;
    server_name 43.138.139.189;
    set $empty "";
    ssl_ciphers aNULL;
    ssl_certificate data:$empty;
    ssl_certificate_key data:$empty;
}

文中 IP 为临时 IP ，所以没打码。

原创文章，转载请注明： 转载自笛声