修复uWSGI 未授权访问漏洞

阿里给出的建议 “禁用 uwsgi socket 协议或配置 uwsgi socket 仅能通过本地访问”

当工程在容器中运行的时候,就不能设置仅本地访问了。所以只能以htttp方式启动uwsgi

将原uwsgi的启动命令(socket模式)

#前端运行
uwsgi --wsgi-file $UWSGI_FILE --master -p $PROCESS --threads $THREADS -s :$PORT -b 8192 
#后端运行
uwsgi --wsgi-file $UWSGI_FILE --master -p $PROCESS --threads $THREADS -s :$PORT -b 8192 --daemonize /dev/null

修改为

#前端运行
uwsgi --wsgi-file $UWSGI_FILE --master -p $PROCESS --threads $THREADS --http :$PORT -b 8192
#后端运行
uwsgi --wsgi-file $UWSGI_FILE --master -p $PROCESS --threads $THREADS --http :$PORT -b 8192 --daemonize /dev/null

#如果是非容器环境运行,也可以直接绑定127.0.0.1地址,也可以避免此漏洞。采用此种方式的部署,nginx可以不修改,依然采用uwsgi_pass方式
uwsgi --wsgi-file $UWSGI_FILE --master -p $PROCESS --threads $THREADS --socket 127.0.0.1:$PORT -b 8192

nginx配置修改(无论是80端口的http,还是443端口的https,均是以下写法)

#    location / {
#        uwsgi_pass 127.0.0.1:9000;
#        include uwsgi_params;
#       uwsgi_read_timeout 120s;
#       client_max_body_size 15m;
#    }
    location / {
        proxy_pass http://127.0.0.1:9000;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        #proxy_read_timeout 120s;
        #client_max_body_size 15m;
    }

文章来源地址https://uudwc.com/A/RxYLe

原文地址:https://blog.csdn.net/u010145988/article/details/131595363

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请联系站长进行投诉反馈,一经查实,立即删除!

h
上一篇 2023年07月08日 12:49
网络安全主要包括哪些方面
下一篇 2023年07月08日 12:51