Tomcat 目标URL存在http host头攻击漏洞tomcat修复方法

最新推荐文章于 2024-05-27 23:13:14 发布
最新推荐文章于 2024-05-27 23:13:14 发布
阅读量9k 收藏 9
点赞数 3
分类专栏: linux tomcat 运维杂谈 文章标签: tomcat
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liangpingguo/article/details/109316003
版权
linux 同时被 3 个专栏收录
50 篇文章 7 订阅
订阅专栏
运维杂谈
44 篇文章 0 订阅
订阅专栏
tomcat
8 篇文章 0 订阅
订阅专栏

一、漏洞描述:

为了方便获取网站域名,开发人员一般依赖于请求包中的Host首部字段。例如,在php里用_SERVER[“HTTP_HOST”]。但是这个Host字段值是不可信赖的(可通过HTTP代理工具篡改),如果应用程序没有对Host字段值进行处理,就有可能造成恶意代码的传入。

二、解决办法

打开tomcat/conf/server.xml文件,修改属性:name:主机域名

	<Host name="localhost"  appBase="webapps"
            unpackWARs="true" autoDeploy="false">
	</Host>
# 修改 name = “localhost” 为 name = “www.xxx.com”
	<Host name="www.xxx.com"  appBase="webapps"
            unpackWARs="true" autoDeploy="false">
	</Host>

其它修复建议:
Web应用程序应该使用SERVER_NAME而不是host header。
在Apache和Nginx里可以通过设置一个虚拟机来记录所有的非法host header。在Nginx里还可以通过指定一个SERVER_NAME名单,Apache也可以通过指定一个SERVER_NAME名单并开启UseCanonicalName选项。
参考:
Nginx,修改ngnix.conf文件,在server中指定一个server_name名单,并添加检测。
Apache,修改httpd.conf文件,指定ServerName,并开启UseCanonicalName选项。
Tomcat,修改server.xml文件,配置Host的name属性

在Tomcat配置多域名,目的是和apache相对应,实现多域名访问。 使用 < Alias></ Alias>,务必注意,使用的是首字母大写
正确配置如下:
在默认的host下添加一个同级的host。

<Host name="www.xxx.com"  unpackWARs="true" autoDeploy="true" xmlValidation="false" xmlNamespaceAware="false">  
<Context path="/" reloadable="true" docBase="E:\Workspace\test1\WebRoot" />
<Alias>196.128.1.101</Alias>
</Host>
两苹果
关注
  • 3
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
目标URL存在http host攻击漏洞修复与验证
热门推荐
QHJJHQ的博客
05-24 1万+
近期在使用绿盟对线上项目进行安全扫描时,发现系统存在host攻击漏洞。在此记录解决的过程以便后期回顾上述问题出现的原因为在项目中使用了 request.getServerName 导致漏洞的出现 不要使用request中的serverName,也就是说host header可能会在攻击时被篡改,依赖request的方法是不可靠的,形如JSP部中的:String path = request.g...
Host攻击
最新发布
wfdfg的博客
05-27 2210
(也被称为HTTP Host注入攻击)是一种Web安全漏洞攻击者通过篡改HTTP请求中的Host部字段来执行恶意操作。在HTTP协议中,Host部字段用于指定请求所针对的域名,以便服务器能够正确地将请求路由到相应的Web应用程序。
tomcatHTTP Host 攻击原理以及如何防御
happydecai的博客
06-13 5543
修改tomcat的server.xml文件即可: 直接上图:
目标URL存在http host攻击漏洞tomcat修复方法
xhyyyyy的博客
03-28 1万+
最近扫描发现很多系统web存在http host攻击漏洞,报告里面的解决方案没有具体写tomcat如何操作,故记录一下整改方法。打开conf    server.xml文件,完善&lt;Host/&gt;元素&lt;Host/&gt;属性:name:主机域名appBase:该主机下的所有应用所在的文件目录比如修改name = “localhost”为 name = “www.xxx.com”...
【软件上线常见漏洞】检测到目标URL存在http host攻击漏洞
程序猿学社的博客
07-24 2455
常见漏洞扫描修复, 收纳项目上线常见漏洞
URL存在http host攻击漏洞修复方案
xin292930540的专栏
09-15 1万+
漏洞描述:为了方便的获得网站域名,开发人员一般依赖于HTTP Hostheader。例如,在php里用_SERVER[“HTTP_HOST”]。但是这个header是不可信赖的,如果应用程序没有对host header值进行处理,就有可能造成恶意代码的传入。访问网站时如果访问路径中缺少/,大多数中间件都会自动将路径补全,返回302或301跳转如下图,Location位置的域名会使用Host的值。这种情况实际上风险较低,难以构成Host攻击。但是由于大多漏洞扫描。
检测到目标URL存在http host攻击漏洞
tengtianshan的专栏
03-19 6634
一、前言 漏洞描述:为了方便的获得网站域名,开发人员一般依赖于HTTP Host header。例如,在php里用_SERVER[“HTTP_HOST”]。但是这个header是不可信赖的,如果应用程序没有对host header值进行处理,就有可能造成恶意代码的传入。 访问网站时如果访问路径中缺少/,大多数中间件都会自动将路径补全,返回302或301跳转如下图,Location位置的域名会使用Host的值。 这种情况实际上风险较低,难以构成Host攻击。但是由于大多漏洞扫描器会将这种情况检测为H
如何有效防范host主机攻击? (host主机攻击)
joshua317的博客
09-01 795
随着网络攻击手段的不断升级,各类安全威胁不断涌现。作为一种针对Web服务器的攻击方式,host主机攻击已经引起越来越多的关注。它利用了Web服务器上的漏洞,将解析出来的请求数据发送到其他Web主机上,从而实现欺骗、窃取用户数据等恶意行为。因此,防范host主机攻击已经成为Web服务器运维、安全人员不容忽视的任务。
关于检测到目标URL存在http host攻击漏洞基于Tomcat下的修复
何必为部分生活而哭泣,君不见全部的人生都让人潸然泪下
11-29 3446
修改tomcat下的conf/server.xml文件 将Host中的name修改为静态的域名,如下(原本为localhost
目标URL存在http host攻击漏洞--分析解决
小元子子的博客
06-28 1万+
漏洞描述:   详细描述 为了方便的获得网站域名,开发人员一般依赖于HTTP Host header。 例如,在php里用_SERVER["HTTP_HOST"]。但是这个header是不可信赖的,如果应用程序没有对host header值进行处理,就有可能造成恶意代码的传入。 解决办法 web应用程序应该使用SE...
springboot_host
01-11
通过模拟攻击来检查应用的防御能力,可以帮助我们发现潜在的安全漏洞,并在实际攻击发生前进行修复。 总的来说,"springboot_host"这个主题强调了在Spring Boot应用中处理和防止主机漏洞的重要性。了解并实施上述...
关于Apache Tomcat存在文件包含漏洞的整改方法
01-09
目前,漏洞细节尚未公开,厂商已发布新版本完成漏洞修复。 一、漏洞情况分析 Tomcat是Apache软件基金会Jakarta 项目中的一个核心项目,作为目前比较流行的Web应用服务器,深受Java爱好者的喜爱,并得到了部分软件...
tomcat同时使用httphttps访问的配置方法
09-30
在IT行业中,Tomcat是一个广泛使用的开源Java Servlet容器,它为执行Java web应用程序提供了一个平台。本文将详细讲解如何配置Tomcat服务器,使其能够同时支持HTTPHTTPS协议,以满足不同场景下的安全需求。 首先...
详解tomcat设置默认路径致使项目url冲突解决方法
01-10
tomcat作为java容器非常出色,但是依然会有一些避之不及的小坑,在此记录一笔. START 问题 部署多个项目后url路径冲突 情景描述 1.webapps下有两个项目 projectA,projectB.两个项目除开管理信息接口,其余都有安全...
关于tomcat的server.xml里host节点配置的一些说明
09-30
今天在帮客户配置iis+tomcat实现jsp运行环境的时候发现的这个问题,一直没研究,今天正好参考了多篇文章发现并解决了问题,特分享下
HTTP Host 攻击 原理以及修复方法
it知识分享 free for nothing..
04-25 1522
HTTP Host 攻击 原理以及修复方法
tomcat修复URL存在http host攻击漏洞
corpse2010的专栏
04-09 8867
tomcat/conf/server.xml文件,完善&lt;Host/&gt;元素&lt;Host/&gt;属性:name:主机域名============== &lt;Host name="abc"  appBase="webapps"            unpackWARs="true" autoDeploy="true"            xmlValidation=&qu
每日漏洞 | Host攻击
03-12 3103
每日漏洞 | Host攻击
tomcat检测到目标主机可能存在缓慢的HTTP拒绝服务攻击
09-15
针对可能存在缓慢的HTTP拒绝服务攻击Tomcat可以采取以下措施进行检测和防范: 1. 配置连接超时:通过设置适当的连接超时时间,Tomcat可以在一定时间内检测到连接是否过慢或异常,并主动断开这些连接,以释放...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值