目标URL存在http host头攻击漏洞

Posted 新网工李白

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了目标URL存在http host头攻击漏洞相关的知识,希望对你有一定的参考价值。

HW时遇到的问题

📃漏洞描述

为了方便的获得网站域名,开发人员一般依赖于HTTP Host header。例如,在php里用_SERVER[“HTTP_HOST”]。但是这个header是不可信赖的,如果应用程序没有对host header值进行处理,就有可能造成恶意代码的传入。

📃解决办法

web应用程序应该使用SERVER_NAME而不是host header。
在Apache和nginx里可以通过设置一个虚拟机来记录所有的非法host header。

在Nginx里还可以通过指定一个SERVER_NAME名单,Apache也可以通过指定一个SERVER_NAME名单并开启UseCanonicalName选项。

以上是关于目标URL存在http host头攻击漏洞的主要内容,如果未能解决你的问题,请参考以下文章

目标URL存在http host头攻击漏洞

目标URL存在http host头攻击漏洞

漏洞解决:检测到目标URL存在http host头攻击漏洞(Docker + nginx)

URL存在跨站漏洞http host头攻击漏洞解决方案

安全:http host头攻击漏洞

PHP 7的PHP-FPM存在远程代码执行漏洞