-
漏洞描述:为了方便的获得网站域名,开发人员一般依赖于HTTP Host header。例如,在php里用_SERVER[“HTTP_HOST”]。但是这个header是不可信赖的,如果应用程序没有对host header值进行处理,就有可能造成恶意代码的传入。
-
建议修复:web应用程序应该使用SERVER_NAME而不是host header。在Apache和Nginx里可以通过设置一个虚拟机来记录所有的非法host header。在Nginx里还可以通过指定一个SERVER_NAME名单,Apache也可以通过指定一个SERVER_NAME名单并开启UseCanonicalName选项。
-
修复方法:加过滤器类。
@SuppressWarnings(“serial”)
public class HttpHostFilter extends HttpServlet implements Filter {
@Override
public void init(FilterConfig filterConfig) throws ServletException {
}
@Override
public void doFilter(ServletRequest req, ServletResponse res, FilterChain filterChain) throws IOException, ServletException {
HttpServletRequest request = (HttpServletRequest) req;
HttpServletResponse response = (HttpServletResponse) res;
// 头攻击检测 过滤主机名
String requestHost = request.getHeader("host");
if (requestHost != null && !checkBlankList(requestHost)) {
response.setStatus(403);
return;
}
filterChain.doFilter(request, response);
}
// 判断主机是否存在白名单中
private boolean checkBlankList(String host) {
// 此处为自己网站的主机地址
if (host.contains("127.0.0.1")) {
return true;
}
// 返回true 无白名单限制
return false;
}
}
web.xml中的过滤器配置:
<filter-name>HttpHostFilter</filter-name>
<filter-class>
com.xxx.webservice.interceptor.HttpHostFilter
</filter-class>
<filter-name>HttpHostFilter</filter-name>
<url-pattern>/*</url-pattern>
<dispatcher>REQUEST</dispatcher>
<dispatcher>FORWARD</dispatcher>
总结:由于最常用的web容器是tomcat,因此在尝试了一些配置之后,就决定用过滤器过滤主机地址的方法去实现,如果被恶意修改主机地址,该主机地址不存在我们写的地址白名单中,服务器就会返回403,就不会被监测到存在头攻击的漏洞。