我有一个现场 Django 项目,我使用 nginx 作为反向代理,gunicorn 作为应用程序服务器。这是一个相当新的项目,还没有启用 SSL。这个项目中有一个用户一直在进行 XSS 攻击并窃取用户 cookie。我查看了我的会话数据以找出该用户的 IP 地址。原来他的IP和10差不多。。.* - 即他在我自己的网络上?顺便说一句,所有其他用户似乎都有正常的公共 IP 地址。
我原本希望在我的 nginx conf 中找出他的 IP 并拒绝它。但我认为这不是一个强大的解决方案,因为他似乎在我自己的网络上。当我试图弄清楚如何阻止他以其他用户身份登录的 XSS 攻击时,有什么方法可以阻止此人的网络请求?
向您的网络管理员询问该 IP 地址属于谁,然后拜访他们并将 LART 牢牢地应用在他们的后脑勺上。
如果这不是一个选项,请将 nginx 配置为仅允许来自您自己的 IP 地址的连接。显然,这仅在您的 IP 地址是静态的情况下才是一个好主意,否则当您的 IP 更改时,您将自己锁定。
另一个权宜之计是重新配置 nginx 以要求对所有请求进行 HTTP 身份验证。这样,用户只能通过提供用户名和密码来提出任何请求,甚至更好的是使用正确的证书。
如何做到这一点是https://serverfault.com的技术问题
您可以对此做一些事情。通常,您可以编写不允许攻击者执行 XSS 攻击的代码。当然,修复它可能需要一些时间。
您可以做的下一件事是向您的服务器添加一个 HIDS以防止此类攻击。当然,这不是一个 100% 的解决方案,但它会降低风险。例如,我使用OSSEC。它是开源的,不会花费您任何费用。
此外,我认为这不是由您的一名员工完成的,而是由外部攻击者完成的,该攻击者以某种方式获得了对您网络的访问权限。