JumpServer 堡垒机跨站请求被拒

2025年6月24日00:01:36评论8 views字数 477阅读1分35秒阅读模式

一般Web应用直接走NAT网络映射不会出现CSRF请求被拒绝的情况，我遇到的情况是堡垒机经过二次端口转发后映射到公网，结果访问堡垒机时报错：

问了厂家，说是需要配置跨站domain：

配置好 DOMAIN 选项后，重启堡垒机页面恢复正常。

将堡垒机直接挂在公网上合不合适？不推荐直接将开源应用暴露在公网，开源的应用大多都有漏洞。平时我们也不会频繁升级软件，直接暴露在公网上会成为靶标。

我说一下我的做法，先通过零信任或身份认证系统检验对方身份，然后再允许对方访问。这里有一个简单的实现，可以参考一下：

https://github.com/hyang0/ip_allow

这相当于一个“应用网关”，攻击者的攻击会集中到这个网关上。目前我们把这个东西当成替代版的“零信任”在用，如果有预算可以上 sangfor 的“零信任”，它可以做到更高级别的防攻击。

暴露在公网的应用肯定会遭受到攻击。既然没法避免那就搞一个“可控”的攻击目标出来，把脆弱的应用隐藏在它后面。

以下是被黑客密码爆破攻击的实战日志：

全文完。

原文始发于微信公众号（生有可恋）：JumpServer 堡垒机跨站请求被拒

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。

护网技能提升之护网常见攻击方式与漏洞原理