绿盟检测出“检测到目标URL存在http host头攻击漏洞”如何解决

最新推荐文章于 2024-07-09 17:32:45 发布
最新推荐文章于 2024-07-09 17:32:45 发布
阅读量4.5k 收藏
点赞数
分类专栏: java 文章标签: 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lishuai05251986/article/details/84913323
版权

绿盟检测出“检测到目标URL存在http host头攻击漏洞”,检测报告中有解决办法(在Apache和Nginx里可以通过设置一个虚拟机来记录所有的非法host header。在Nginx里还可以通过指定一个SERVER_NAME名单,Apache也可以通过指定一个SERVER_NAME名单并开启UseCanonicalName选项。),但不详细,请问具体应该怎么解决

 

参见

Apache:
增加配置

UseCanonicalName On
lishuai05251986
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
检测目标url存在内部ip地址泄露_Cendertron,动态爬虫与敏感信息泄露检测
weixin_39633090的博客
11-14 1120
Cendertron,动态爬虫与敏感信息泄露检测Cendertron = Crawler + RendertronCendertron https://url.wx-coder.cn/HinPM 是基于 Puppeteer 的 Web 2.0 动态爬虫与敏感信息泄露检测工具。其依托于 xe-crawler 的通用爬虫、调度与缓存模型,新增了 Monkey Test 以及 Request Inter...
绿盟检测目标URL存在http host攻击漏洞
laughingsister的博客
12-07 8290
绿盟安全扫描中遇到一个很棘手的问题,检测目标URL存在http host攻击漏洞,是文件攻击。 利用burpsuite,拦截报表中的请求,修改host 。 查看攻击是否成功。 如果成功,就需要后台写个方法,对此HttpContext.Current进行约束,即对输入的host加以特定的限制。 再次扫描,安全通过。 ...
绿盟 检测目标URL存在http host攻击漏洞
itliuting的博客
05-11 501
安全问题
绿盟科技扫描JavaWeb项目的一些漏洞
最新发布
m0_58571759的博客
07-09 297
该问题是由于项目中用的jQuery版本太低的问题,升级Jquery版本为3.6.1,因为升级之后的版本不兼容之前的版本,需要引入JQuery提供的jQuery Migrate v3.4.0。已上三点的解决方案主要是给项目配置过滤器,将URL中的特殊字符过滤掉。但是其中还会存在一些兼容性问题,在引入之后引入一些改写的方法。CookieHttpOnlyFilter.java文件。1、检测目标URL存在宽字节跨站漏洞。2、检测目标URL存在框架注入漏洞。3、检测目标URL存在链接注入漏洞
Python urllib HTTP注入漏洞
weixin_30298497的博客
03-08 205
virusdefender · 2016/06/17 17:19from:blog.blindspotsecurity.com/2016/06/adv…0x00 总览Python的urllib库(在Python2中为urllib2,在Python3中为urllib)有一个HTTP协议下的协议流注入漏洞。如果攻击者可以控制Python代码访问任意URL或者让Python代码访问一个恶意的web se...
绿盟科技 web检测目标URL存在http host攻击漏洞
jingleifan的博客
05-30 4638
检测目标URL存在http host攻击漏洞 绿盟科技 web 问题描述本项目使用javaweb开发解决方式: 问题描述 详细描述                      为...
Nginx漏洞修复_检测目标主机可能存在缓慢的http拒绝服务攻击(1)
2401_84181368的博客
04-10 1177
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!
IIS 绿盟检测HOST攻击漏洞解决: web应用使用SERVER_NAME而非host header。
rain的博客
07-07 3887
IIS Web服务器防止Host攻击漏洞
Java Web项目漏洞修复(绿盟检测)
博客
08-28 5367
前言 在公司给客户做的一个项目中,客户使用绿盟进行了项目漏洞扫描,这里记录一下我做的一些漏洞修复方法。 检测目标URL存在http host攻击漏洞 由于我使用的是Nginx,因此只需要在Nginx的配置文件里面配置,使项目只能以指定域名(由于没有提供域名,设置的是ip)来访问,如下在设置server_name,这里可以使用多个域名),如果使用其他域名(如localhost)访问直接返回4...
目标URL存在内部IP地址泄露--分析解决
小元子子的博客
06-28 1万+
详细描述内部 IP 定义为下列 IP 范围内的 IP: 10.0.0.0 - 10.255.255.255 172.16.0.0 - 172.31.255.255 192.168.0.0 - 192.168.255.255  对攻击者而言,泄露内部 IP 非常有价值,因为它显示了内部网络的 IP 地址方案。知道内部网络的 IP 地址方案,可以辅助攻击者策划对内部网络进一步的攻击。  解决办法内部...
禁止绿盟扫描oracle,Oracle Enterprise Manager Grid Control JSP代码执行漏洞(CVE-2010-3600)
weixin_42106299的博客
04-08 844
*本文原创作者:一只胖麻瓜biu,本文属FreeBuf原创奖励计划,未经许可禁止转载0×1Oracle Enterprise Manager Grid Control在实现上存在在上传应用程序通过OCI的方式,访问参考链接:0×2最近用绿盟扫描器扫到一个:host:访问存在漏洞的服务器:msf中search此exp:使用此exp:发现失败了show options查看一下payload:此处为pa...
绿盟对上线项目进行扫描,目标URL存在http host攻击漏洞解决方案和验证
我的成长之路!
08-07 3万+
近期在使用绿盟对线上项目进行安全扫描时,发现系统存在host攻击漏洞。在此记录解决的过程以便后期回顾 上述问题现的原因为在项目中使用了 request.getServerName 导致漏洞现  不要使用request中的serverName,也就是说host header可能会在攻击时被篡改,依赖request的方法是不可靠的,形如JSP部中的: String path = r...
检测目标URL存在http host攻击漏洞
Timor的博客
05-22 7078
具体问题描述: 绿盟检测检测目标URL存在http host攻击漏洞”,检测报告中有解决办法(在Apache和Nginx里可以通过设置一个虚拟机来记录所有的非法host header。在Nginx里还可以通过指定一个SERVER_NAME名单,Apache也可以通过指定一个SERVER_NAME名单并开启UseCanonicalName选项。) 如果应用程序没有对host header值进行处理,就有可能造成恶意代码的传入。 解决办法 方法一:如果是自己引入的外部tomcat,修改tomcat配置文
绿盟扫描监测URL存在http host 攻击漏洞解决方案
lzlangzi528的专栏
11-14 1160
在tomcat(6以上版本)的server.xml配置文件中替换配置: <Host name="www.tcm.com" appBase="webapps" unpackWARs="true" autoDeploy="true" xmlValidation="false" xmlNamespaceAware="false"><!--本机对外域名--><Alias&g...
检测目标URL存在HTTP host攻击漏洞
weixin_43263019的博客
11-25 1万+
检测目标URL存在HTTP host攻击漏洞 漏洞描述 为了方便获取网站域名,开发人员一般依赖于请求包中的Host首部字段。例如,在php里用_SERVER[“HTTP_HOST”]。但是这个Host字段值是不可信赖的(可通过HTTP代理工具篡改),如果应用程序没有对Host字段值进行处理,就有可能造成恶意代码的传入。 安全:检测目标URL存在http host攻击漏洞(nginx+攻击模拟) 下面是绿盟安全扫描报告 下面给几种常见服务器的参考修复方法,其中如有错误或不妥的地方欢迎指正。 N
java host攻击漏洞_Java Web项目漏洞检测目标URL存在http host攻击漏洞解决办法...
weixin_34598113的博客
02-13 282
背景项目上线之后使用绿盟或Acunetix安全扫描工具扫描后发现了攻击漏洞。截图如下:漏洞提示检测工具在检测漏洞后给予的提示为: 大意为不要使用request中的serverName,也就是说host header可能会在攻击时被篡改,依赖request的方法是不可靠的,形如JSP部中的:String path = request.getContextPath();String basePa...
Java Web项目漏洞检测目标URL存在http host攻击漏洞解决办法
chunhui0415的博客
05-08 561
背景 项目上线之后使用绿盟或Acunetix安全扫描工具扫描后发现了攻击漏洞。截图如下: 漏洞提示 检测工具在检测漏洞后给予的提示为: 大意为不要使用request中的serverName,也就是说host header可能会在攻击时被篡改,依赖request的方法是不...
检测目标URL存在http host攻击漏洞,修复方案:在Web服务器防止Host攻击
热门推荐
06-11 6万+
一、前言 漏洞描述:为了方便的获得网站域名,开发人员一般依赖于HTTP Host header。例如,在php里用_SERVER[“HTTP_HOST”]。但是这个header是不可信赖的,如果应用程序没有对host header值进行处理,就有可能造成恶意代码的传入。 访问网站时如果访问路径中缺少/,大多数中间件都会自动将路径补全,返回302或301跳转如下图,Location位置的域名会使用Host的值。 这种情况实际上风险较低,难以构成Host攻击。但是由于大多漏洞扫描器会将这种情况检测为H
绿盟极光漏洞扫描工具
06-08
它通过自动化的方式对目标网络进行系统、应用和服务的漏洞检测,提供全面的漏洞评估报告,包括弱口令、开放端口、系统漏洞等多个方面。 极光漏洞扫描器的特点包括: 1. **深度扫描**:能够深入网络各个层次,检测...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值