防止 Google Kubernetes Engine (GKE) Ingress/FrontendConfig 中的主机标头注入/重定向

【问题标题】:Prevent Host Header Injection / Redirection in Google Kubernetes Engine ( GKE ) Ingress / FrontendConfig防止 Google Kubernetes Engine (GKE) Ingress/FrontendConfig 中的主机标头注入/重定向
【发布时间】:2022-02-21 17:32:39
【问题描述】:

我有一个 k8s 部署,它使用 Cloud DNS托管证书(用于 SSL) 以及 k8s 服务。

我已经根据this GKE documentation配置了HTTP转HTTPS

它工作得非常好,并将我的 HTTP 请求重定向到 HTTPS 网站。

现在,当我使用 CMD 中的以下命令测试 HOST HEADER INJECTION 的漏洞时,

curl http://staging.mysite.com --header 'Host: malicious.com'

我收到如下回复

<HTML><HEAD><meta http-equiv="content-type" content="text/html;charset=utf-8">
<TITLE>301 Moved</TITLE></HEAD><BODY>
<H1>301 Moved</H1>
The document has moved
<A HREF="https://malicious.com/">here</A>.
</BODY></HTML>

顺便提一下,我的应用是基于 angular 11 构建的,构建后我使用 Nginx 为应用提供服务。

这是我的入口和前端配置和托管证书配置

apiVersion: networking.gke.io/v1beta1
kind: FrontendConfig
metadata:
    name: ssl-redirect
spec:
    redirectToHttps:
        enabled: true
---
apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
    name: staging-service-ingress
    annotations:
        kubernetes.io/ingress.global-static-ip-name: staging-global-ip
        networking.gke.io/managed-certificate: staging-cert
        networking.gke.io/v1beta1.FrontendConfig: ssl-redirect
spec:
    defaultBackend:
        service:
            name: web-staging-service
            port:
                number: 80
    rules:
        - host: staging.mysite.com
          http:
              paths:
                  -   backend:
                          service:
                              name: web-staging-service
                              port:
                                  number: 80
                      pathType: ImplementationSpecific
                      path: /*
---
apiVersion: networking.gke.io/v1
kind: ManagedCertificate
metadata:
    name: staging-cert
spec:
    domains:
        - staging.mysite.com

这是我的 Nginx 配置

worker_processes 4;
error_log  /var/log/nginx/error.log warn;
pid        /var/run/nginx.pid;

events { worker_connections 1024; }

http {
    server {
        listen       80;
        ssl_protocols TLSv1.2 TLSv1.3;
        ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256';
        ssl_prefer_server_ciphers on;
        server_tokens off;

        server_name *.mysite.com, mysite.com;

        types {
            module js;
        }

        sendfile on;
        include       /etc/nginx/mime.types;

        gzip on;
        gzip_http_version 1.1;
        gzip_disable      "MSIE [1-6]\.";
        gzip_min_length   256;
        gzip_vary         on;
        gzip_proxied      expired no-cache no-store private auth;
        gzip_types        text/plain text/css application/json application/javascript application/x-javascript text/xml application/xml application/xml+rss text/javascript;
        gzip_comp_level   9;

        location / {
            root   /usr/share/nginx/html;
            try_files $uri $uri/ /index.html;
            index  index.html index.htm;
        }

        error_page   404 500 502 503 504  /404.html;
        location = /404.html {
            root   /usr/share/nginx/html;
        }

    }
    add_header Strict-Transport-Security "max-age=31536000;" always;
    add_header X-XSS-Protection "1; mode=block" always;
    add_header X-Frame-Options sameorigin always;
    add_header X-Content-Type-Options nosniff;
    add_header Referrer-Policy 'origin';
    add_header Content-Security-Policy "some rules";
    add_header Permissions-Policy "some rules";
}

我没有找到任何正确的方法来阻止注射。该应用程序在当前配置下完美运行。

请帮助我找到防止主机头注入的正确解决方案

【问题讨论】:

    标签: angular nginx kubernetes google-cloud-platform google-kubernetes-engine


    【解决方案1】:

    GCP 通过Cloud Armor 提供针对此类攻击的保护。 Cloud Armor 内置WAF policies,支持防止HTTP 标头注入等协议攻击。

    您首先需要配置您的 Cloud Armor 政策,然后您可以将其与附加到 Ingress 资源使用的后端 Kubernetes 服务(“web-staging-service”)的 BackendConfig 相关联。

    apiVersion: cloud.google.com/v1
kind: BackendConfig
metadata:
  name: cloud-armor
spec:
  securityPolicy:
    name: "waf-security-policy"

    【讨论】:

    • 感谢您的回复。我已配置我的 Google Cloud Armor 政策。并将其与服务/入口一起添加到我的 GKE。如果我提出类似curl https://staging.mysite.com -H 'Host: malicious.com' -H 'user-agent: Testing' 的任何请求,它会完美运行我已经为 Managed Protection Plus 启用了计费 如果您看到,CURL 请求使用的是 HTTPS,但如果我使用 HTTP,那么我仍然会得到与问题中提到的相同的响应.你能告诉我如何防止这种情况发生吗?
    • 嗯...我会调查一下并回复你。
    • 嗨@garisingh,你有时间检查一下吗?我仍然无法修复它
    【解决方案2】:

    Web 应用程序应使用 SERVER_NAME 而不是 Host 标头。它还应该创建一个虚拟虚拟主机来捕获所有带有无法识别的主机标头的请求。这也可以在 Nginx 下通过指定非通配符 SERVER_NAME 来完成,在 Apache 下通过使用非通配符 serverName 并打开 UseCanonicalName 指令来完成。 https://www.nginx.com/resources/wiki/start/topics/examples/server_blocks/

    【讨论】:

    猜你喜欢
    • 2022-06-11
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 2019-06-18
    • 2020-06-17
    • 2018-09-07
    • 1970-01-01
    • 1970-01-01
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode