SonarQube HTTP 和 HTTPS + 反向代理:IP 欺骗攻击?

【问题标题】:SonarQube HTTP & HTTPS + reverse proxy : IP spoofing attack?SonarQube HTTP 和 HTTPS + 反向代理:IP 欺骗攻击?
【发布时间】:2013-11-25 15:30:26
【问题描述】:

Sonarqube 部署在内网服务器上(=> http url)。

当使用 DMZ 反向代理声明 https 互联网 url 访问此服务器时,会出现此错误:

2013.11.22 19:47:53 ERROR rails  /!\ FAILSAFE /!\  Fri Nov 22 19:47:53 +0100 2013
  Status: 500 Internal Server Error
  IP spoofing attack?!
HTTP_CLIENT_IP="[real.ip.deleted]"
HTTP_X_FORWARDED_FOR="[real.ip.deleted]"

Rails 是正确的,但是这个用例是可以接受的(向供应商推荐 SonarQube UI,或者当我想用我的咖啡时间检查我的 Smartphne 上的 CI 结果时!)。

禁用 ip 欺骗或取消选中代理 ip 验证的可能性可能是一个很棒的功能,配置 IN sonar.properties

设置了解决方法(在声纳 3.7.3 中测试)

File : [sonar-dir]/war/sonar-server/WEB-INF/gems/gems/actionpack-2.3.15/lib/action_controller/base.rb

@@ip_spoofing_check = false

但修改分发是不可持续的

【问题讨论】:

    标签: configuration sonarqube


    【解决方案1】:

    这种情况似乎是特定于在 SonarQube 前面的反向代理(ProxyPass 指令)中配置的 Apache 2.2。

    这个版本always add 'HTTP_X_FORWARDED_FOR' header

    最好的解决方案(与公开的解决方法相比)是在 Apache 2.4 中升级。

    指令ProxyAddHeaders 可用于控制此标头的添加。

    其他stackoverflow线程:is-there-a-way-to-remove-apaches-reverse-proxy-request-headers

    【讨论】:

      猜你喜欢
      • 1970-01-01
      • 1970-01-01
      • 2014-02-13
      • 1970-01-01
      • 1970-01-01
      • 2015-10-18
      • 2010-11-13
      • 2014-01-18
      • 1970-01-01
      相关资源
      最近更新 更多
      热门标签
      Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode