前段时间公司系统漏洞大检查,发现了有host头攻击漏洞
给出的修复建议是:
第一点的话,程序里没有使用getHeader(“Host”),所以解决第二第三点就可以了。
第二没看懂,pass;
第三点我先是去httpd.conf里加了UseCanonicalName On,检测出来还是有host头攻击漏洞
于是就在虚拟主机里也加了UseCanonicalName On,这下终于没有了。
后来无聊翻了下extra下的httpd-default.conf文件,发现了:
这个是我改好了之后的,刚看到时是Off的
所以解决那个host头攻击到httpd-default.conf里将UseCanonicalName Off改成UseCanonicalName On就可以了