近期收到一客户发来的漏洞文档,发现部分线上业务系统存在敏感信息泄露,危害等级:低危。

现象表明为:

图片1


造成原因:nginx为后台tomcat做代理时,没有配置拦截,proxy_intercept_errors开关默认为关闭。


解决方法:

location /zcms {

index index.html index.htm index.shtml index.zhtml login.zhtml;

proxy_pass http://localhost:8080/zcms;

proxy_redirect off;

proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

proxy_set_header X-Real-IP $remote_addr;

proxy_set_header HOST $host;

proxy_intercept_errors on;

#error_page 404 = http://localhost/404.shtml;

#error_page 500 = http://localhost/50x.shtml;

}            

error_page 404  http://localhost/404.shtml;

error_page  500 502 503 504  http://localhost/50x.shtml; 

说明:

error_page 设置在server中,即指定拦截前端静态错误信息页面也拦截后台错误信息页面,如只需配置在后端应用中,则放置在后台应用的location 中。