请选择 进入手机版 | 继续访问电脑版

迪普科技技术论坛

 找回密码
 立即注册

关注我们 扫描二维码关注迪普官方微信 迪普新浪微博  迪普官网

最新动态 新闻动态  安全研究 最佳实践  加入迪普

DP 自安全园区网解决方案 DP 自安全分支机构解决方案 DP 自安全物联感知网解决方案

查看: 137|回复: 0

【ADX产品】ADX-SSL卸载在HTTP混用内容中的应用

[复制链接]

8

主题

8

帖子

172

积分

版主

Rank: 7Rank: 7Rank: 7

积分
172
发表于 2020-1-13 14:31:45 | 显示全部楼层 |阅读模式
一、故障现象


组网及说明:
ADX旁路部署在核心交换机上,开启七层模式应用负载,虚IP为192.168.2.166:443,真实服务IP为192.168.111.25:10086,导入SSL证书并调用,通过客户端访问虚IP,能够查看证书信息以及服务器网站登录的页面。
问题现象:
在登录页面输入账号和密码,页面提示登录错误。
启用的功能:
真实服务、真实服务组、虚服务(七层)、SSL策略、源NAT。
二、问题分析
1、将七层模式修改为四层模式,客户端通过http访问虚IP能够显示网站登录页面,输入账号密码能够跳转到成功,通过http正常访问服务器端初步判断服务器的资源可以被正常获取;
2、修改为七层模式并调用SSL卸载,客户端通过https访问虚IP,按F12进入浏览器开发者模式,输入账号密码,提示以下信息,如图所示,据分析在HTTPS的访问中,响应的报文中携带有HTTP的内容,由于HTTPS的安全策略规定,浏览器会阻断HTTPS上的非安全请求(HTTP),所以客户端中的浏览器会将请求给Block。


3、在输入账号密码登录时,通过页面远程抓包工具,匹配精细条件在ADX的接口中抓包,跟踪ADX设备服务器侧的HTTP报文,能够查看到响应的报文中携带着HTTP内容,如图所示:


三、解决方案
1、由于HTTPS的安全策略,浏览器会阻断HTTPS上的非安全请求(HTTP)请求,通过ADX中HTTP内容重写中重写负载的功能,将服务器响应内容BODY中的HTTP协议的请求修改为HTTPS,客户端浏览器可以接收并处理该响应报文。
2、通过分析服务器响应报文的特点,获取特定的内容进行重写并调用,本测案例中的修改方式如下图所示:



四、总结:
① HTTP混用内容:初始 HTML 内容通过安全的 HTTPS 连接加载,但其他资源(例如,图像、视频、样式表、脚本)则通过不安全的 HTTP 连接加载。因为页面通过 HTTPS 加载的初始请求是安全的,但是又加载了不安全的HTTP内容,因此称之为混用内容。
② 混用情况下的限制:出于HTTPS的安全策略,浏览器会阻断HTTPS上的非安全请求(HTTP)请求,所以HTTPS页面发送不了HTTP,会被浏览器block。
③ 方法:针对HTTP混用内容的情况下,我司负载设备可以对响应报文的BODY进行修改,通过HTTP内容重写的方式,对响应报文进行负载重写:查看报文载荷内容,匹配到特定的内容后将其修改

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver|手机版|小黑屋|迪普科技

GMT+8, 2020-1-23 13:32 , Processed in 0.162371 second(s), 23 queries .

Powered by Discuz! X3.1

© 2001-2014 Comsenz Inc.

快速回复 返回顶部 返回列表