host header attack解决方案

最新推荐文章于 2024-09-14 12:45:00 发布
最新推荐文章于 2024-09-14 12:45:00 发布
阅读量1.5w 收藏 2
点赞数 2
分类专栏: 安全防护 文章标签: host header attack http host 头部攻击
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ljj2312/article/details/78577262
版权

扫描工具提醒有host header attack漏洞,跟下图漏洞是同一个漏洞,不同扫描工具漏洞描述不一致。

解决方法:

在web项目的过滤器中过滤host,如下图所示:

注意:“localhost:8089”这个参数可以写入配置文件,然后从配置文件中读出来,亲测这种方式有效,已在正式环境中使用!!!

改进后(可配置多个ip):

请关注我微信公众号: 

飞奔的蜗牛2017
关注
专栏目录
Host头部攻击
谢公子的博客
04-09 7138
HTTP的请求报文中,我们经常会看到Host字段,如下 GET /test/ HTTP/1.1 Host: www.baidu.com Connection: keep-alive Upgrade-Insecure-Requests: 1 User-Agent: Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHT...
Host header attack漏洞验证测试
afei001
12-26 1499
目录 1.前言 2.Host header attack漏洞介绍 (1)密码重置 (2)缓存污染 3.Host header attack漏洞验证 4.Host header attack漏洞修复 (1)Apache中间件 (2)Nginx中间件 (3)Tomcat中间件 (4)IIS中间件 1.前言 前两天使用AWVS对目标网站进行漏扫时,发现扫出了Host header attack漏洞,即:主机头攻击漏洞。 afei 2.Host header ...
HTTP Host header attacks Web安全系列(一)
skywf的博客
11-01 3221
本文主要基于post swigger的教程 本篇内容 在本节中,我们将讨论错误配置和有缺陷的业务逻辑如何通过HTTP Host标头使网站遭受各种攻击。我们将概述识别主机标头漏洞的高级方法,并演示如何利用它们。最后,我们将提供一些常规指导,指导您如何保护自己的网站免遭此类攻击。 什么是HTTP Host请求头 从HTTP / 1.1开始,HTTP Host标头是必需的请求标头。它指定客户端要访问的域名。例如,当用户访问时https://portswigger.net/web-security,他们的浏览器将
IC开发——Verilog简明教程
最新发布
飞鹤的程序员人生
09-14 1381
Verilog 是一种用于数字电路设计和建模的硬件描述语言(HDL),广泛应用于电子工程领域。它提供了一种方便的方法来描述电子系统的结构和行为,使得设计、仿真和验证过程更加高效
PortSwigger Academy | HTTP Host header attacks : HTTP Host攻击
水榭山寺花烂漫,凤凰集外雁归来。敢与云峰争秀色,妙雨莲花九重开。
12-30 1113
本文地址: 文章目录总结:1.什么是HTTP Host攻击?: What is the HTTP Host header?2.HTTP Host标头的目的是什么?: What is the purpose of the HTTP Host header?虚拟主机: Virtual hosting通过中介路由流量: Routing traffic via an intermediaryHTTP Host标头如何解决此问题?: How does the HTTP Host header solve this
HTTP Host Header Attack:Basic password reset poisoning
Zeker62的博客
08-17 387
密码找回方式: 传统的密码找回方式,就是在给预先设定好的邮箱发送重置密码链接。 攻击者可以利用中间人攻击对重置链接密码的数据包进行修改,改为发送成自己的邮箱,从而达到恶意窃取账户的目的。 随着传统技术的发展,通常会附加token进行发送,但是仍然可以进行账户窃取 总的来说,这属于HTTP Host Header Attack的一种。 靶场演练: 打开靶场,首页如此: 去选择忘记密码,期间打开BurpSuite进行抓包 按照题目提示,账户输入用户为wiener,记住,此时不需要截获数据报,只需要确保能在HT
burpsuit 靶场( HTTP Host header attacks)
wanan的博客
01-22 717
burpsuit 靶场( HTTP Host header attacks)
host攻击漏洞修复
热门推荐
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
11-17 2万+
host攻击漏洞描述:为了方便的获得网站域名,开发人员一般依赖于HTTP Host header。例如,在php里用_SERVER[“HTTP_HOST”]。但是这个header是不可信赖的,如果应用程序没有对host header值进行处理,就有可能造成恶意代码的传入。 host攻击建议修复:web应用程序应该使用SERVER_NAME而不是host header。在Apache和Nginx里可以通过设置一个虚拟机来记录所有的非法host header。在Nginx里还可以通过指定一个SERVER_N
漏洞分析Heartbleed Attack Lab(自用、记录)
weixin_48392428的博客
05-24 1579
Heartbleed Attack Lab1 Overview2 Lab Environment3 Lab Tasks3.1 Task 1: Launch the Heartbleed Attack.3.2 Task 2: Find the Cause of the Heartbleed Vulnerability3.3 Task 3: Countermeasure and Bug Fix4 attack.py原程序 1 Overview Heartbleed bug (CVE -2014-0160)是Op
Apache HTTP 过滤器filter、开源WAF(ModSecurity)、Apache 模块开发
西京刀客
03-08 2566
在编写Apache模块时,需要具备C或C++编程经验和对Apache Web服务器的基本了解。另外,需要参考Apache的文档和API参考手册来编写代码和构建模块。
Web缓存中毒(web cache poisoning)学习笔记
汗的博客
05-05 4436
笔者burpsuite的在线安全学院的ssti学习笔记。限于本人水平,笔记质量不是很高,假如有看到的大佬轻喷,很多地方是Google翻译的。 首先推荐篇翻译的文章,方便理解 #先知社区上师傅翻译的:实战Web缓存中毒 https://xz.aliyun.com/t/2585#toc-21 #原文 https://portswigger.net/blog/practical-web-cache-po...
WEB安全漏洞之Host攻击漏洞
Agonie_25的博客
05-17 3449
总览漏洞说明解决方法 漏洞说明 开发人员一般依赖于HTTP Host header来方便的获得网站域名。例如,在php里用_SERVER[“HTTP_HOST”],在java里使用hreq.getHeader(“HOST”)等。但是这个header是不可信赖的,在请求传入后端的途中可能会被截获修改。如果后端没有对host header值进行处理(检验等),就有可能造成恶意代码的传入,或者己方用户信...
php host攻击,利用HTTP host攻击的技术
weixin_29798981的博客
03-22 1119
一般通用web程序是如果想知道网站域名不是一件简单的事情,如果用一个固定的URI来作为域名会有各种麻烦。开发人员一般是依赖HTTP Host header(比如在php里是_SERVER[“HTTP_HOST”] ),而这个header很多情况下是靠不住的。而很多应用是直接把这个值不做html编码便输出到了页面中,比如:Default1还有的地方还包含有secret key和token,Defau...
安全漏洞之host攻击漏洞
zhen_hero的博客
03-27 5165
安全漏洞之host攻击漏洞 漏洞描述 渗透测试人员发现,抓包修改host头,在返回包中的base标签中的值会随host值改变,说明存在host攻击漏洞。 漏洞建议 建议使用SERVER_NAME而不是hostheader。 脆弱性评价: 严重程度 高 ...
如何有效防范host主机头攻击? (host主机头攻击)
joshua317的博客
09-01 946
随着网络攻击手段的不断升级,各类安全威胁不断涌现。作为一种针对Web服务器的攻击方式,host主机头攻击已经引起越来越多的关注。它利用了Web服务器上的漏洞,将解析出来的请求数据发送到其他Web主机上,从而实现欺骗、窃取用户数据等恶意行为。因此,防范host主机头攻击已经成为Web服务器运维、安全人员不容忽视的任务。
burp靶场--host攻击
qq_33168924的博客
01-23 901
【代码】burp靶场--host攻击
目标URL存在http_host攻击漏洞复现及修复
zhongxj183的博客
02-22 1万+
目标URL存在http_host攻击漏洞复现及修复 文章目录目标URL存在http_host攻击漏洞复现及修复漏洞说明漏洞描述危险等级修复建议漏洞复现curl测试方法BurpSuite测试方法漏洞修复漏洞修复方案漏洞修复验证参考文章 漏洞说明 漏洞描述 为了方便的获得网站域名,开发人员一般依赖于HTTP Host header。例如,在php里用_SERVER[“HTTP_HOST”]。但是这个header是不可信赖的,如果应用程序没有对host header值进行处理,就有可能造成恶意代码的传入。 危
php host攻击,Apache/Nginx中Host攻击的一些差异
weixin_36317502的博客
03-22 447
1. Host header服务器的域名(用于虚拟主机 ),以及服务器所监听的传输控制协议端口号。如果所请求的端口是对应的服务的标准端口,则端口号可被省略。自超文件传输协议版本1.1(HTTP/1.1)开始便是必需字段。以上是维基百科中对于Host头部的说明。可以看到Host头部并非是用于区别发送到哪台主机的字段。而是用于区分一台主机上不同的虚拟主机。(可以在Apache和Nginx中配置相应Ho...
java host攻击漏洞_Java Web项目漏洞:检测到目标URL存在http host攻击漏洞解决办法...
weixin_34598113的博客
02-13 313
背景项目上线之后使用绿盟或Acunetix安全扫描工具扫描后发现了头攻击漏洞。截图如下:漏洞提示检测工具在检测出漏洞后给予的提示为: 大意为不要使用request中的serverName,也就是说host header可能会在攻击时被篡改,依赖request的方法是不可靠的,形如JSP头部中的:String path = request.getContextPath();String basePa...
host header attack
04-06
主机头攻击是一种常见的网络攻击方式,攻击者通过伪造HTTP请求头中的host字段,以欺骗服务器,使服务器将请求发送到攻击者指定的恶意网站上。这种攻击往往会导致信息泄露、系统瘫痪、恶意代码注入等风险。防范主机头攻击的方法包括使用安全的服务器配置、对请求头进行验证等措施。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值