检测到目标URL存在http host头攻击漏洞

最新推荐文章于 2024-05-27 23:13:14 发布
最新推荐文章于 2024-05-27 23:13:14 发布
阅读量2w 收藏 3
点赞数
分类专栏: 杂记 文章标签: host头攻击漏洞 host头漏洞 http漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ljl890705/article/details/78064753
版权

检测到目标URL存在http host头攻击漏洞。

这个漏洞通常表示目标URL会被截取,攻击者可以修改了头信息中的”host”属性后再调用,会导致最后导向的目标主机被篡改。

那为什么会有这个漏洞产生?因为代码中使用了系统变量$_SERVER[‘server_name’],它获取的正是http headers中的host信息(在通常情况下是这样,如果server的端口修改了,那host = server_name : server_port)。

$_SERVER[‘http_host’]保存的也是http request headers中的host信息。http_host和server_name是有可能不同的,这在于是否在apache配置文件中配置了“UseCanonicalName On”的配置项,如果设置了此配置,则http_host是http request headers中的host信息,而server_name则是apache配置文件中配置的ServerName的信息。未设置此配置项时,http_host与server_name都是http request headers中的host信息。

要避免这个漏洞,需要注意不要使用PHP的系统变量$_SERVER[‘server_name’]。
如果需要定位某些操作的链接信息,建议添加相关配置后使用配置的信息。(如果必须要用,就配置“UseCanonicalName On”并设置“ServerName”吧)

如果使用框架(例如thinkphp),在视图中也不要使用系统变量来进行某些操作$Think.server.server_name。

梁吉林
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
绿盟检测目标URL存在http host攻击漏洞
laughingsister的博客
12-07 8238
绿盟安全扫描中遇到一个很棘手的问题,检测目标URL存在http host攻击漏洞,是文件攻击。 利用burpsuite,拦截报表中的请求,修改host 。 查看攻击是否成功。 如果成功,就需要后台写个方法,对此HttpContext.Current进行约束,即对输入的host加以特定的限制。 再次扫描,安全通过。 ...
检测目标url存在http host攻击漏洞_每日漏洞 | Host攻击
weixin_39625586的博客
12-08 1090
0x00 概述漏洞名称:Host攻击风险等级:低问题类型:管理员设置问题0x01 漏洞描述很多场景下,开发者都相信HTTP Host header传递的参数值用来更新链接导出脚本或者一些敏感操作。但该参数是可控的,若没有对其进行处理,就有可能造成恶意代码的传入。0x02 漏洞危害如果应用程序没有对Host字段值进行处理,就有可能造成恶意代码的传入。0x03 修复建议对Host字段进行检测Ngin...
Host攻击
最新发布
wfdfg的博客
05-27 2210
(也被称为HTTP Host注入攻击)是一种Web安全漏洞攻击者通过篡改HTTP请求中的Host部字段来执行恶意操作。在HTTP协议中,Host部字段用于指定请求所针对的域名,以便服务器能够正确地将请求路由到相应的Web应用程序。
URL存在http host攻击漏洞,修复方案
xin292930540的专栏
09-15 1万+
漏洞描述:为了方便的获得网站域名,开发人员一般依赖于HTTP Hostheader。例如,在php里用_SERVER[“HTTP_HOST”]。但是这个header是不可信赖的,如果应用程序没有对host header值进行处理,就有可能造成恶意代码的传入。访问网站时如果访问路径中缺少/,大多数中间件都会自动将路径补全,返回302或301跳转如下图,Location位置的域名会使用Host的值。这种情况实际上风险较低,难以构成Host攻击。但是由于大多漏洞扫描。
漏洞修复-检测目标URL存在http host攻击漏洞
魔希达的博客
12-19 2617
这个漏洞通常表示目标URL会被截取,攻击者可以修改了信息中的”host”属性后再调用,会导致最后导向的目标主机被篡改。
漏洞一】检测目标URL存在http host攻击漏洞
weixin_30955341的博客
09-11 539
漏洞检测目标URL存在http host攻击漏洞 【原因】 在项目中使用了 request.getServerName 导致漏洞的出现 不要使用request中的serverName,也就是说host header可能会在攻击时被篡改,依赖request的方法是不可靠的,形如JSP部中的: Stringpath =request.getContextPa...
检测目标URL存在http host攻击漏洞——验证
热门推荐
Orangesir的博客
12-14 3万+
公司的语音分析系统,局方安全扫描到此漏洞,需要修复 研发修复完成后,使用公司的小安平台(http://sec.iflytek.com/#/portal)测试仍存在漏洞,咨询了公司安全管理部门,我们公司的小安平台存在误报。 本着认真负责的态度,自己从网上找资料使用其他工具进行验证。 工具: ① Burp_Suite_Pro_v1.7.32_Loader_Keygen.zip 【用于攻...
利用HTTPhost攻击的技术
01-30
一般通用web程序是如果...Hostheader(比如在php里是_SERVER["HTTP_HOST"]),而这个header很多情况下是靠不住的。而很多应用是直接把这个值不做html编码便输出到了页面中,比如:还有的地方还包含有secretkey和token,
springboot_host
01-11
主机漏洞通常涉及到恶意用户通过注入恶意的主机名来攻击系统,例如DNS欺骗或中间人攻击。在Spring Boot应用中,这可能表现为未经验证的HTTP请求被转发到错误的服务器,导致数据泄露或服务中断。为了确保Web应用的...
host主机漏洞解决.zip
09-28
标题中的“host主机漏洞”是指在Web服务器配置中,如果允许任意的主机Host Header)请求,可能会导致安全问题。主机HTTP请求的一部分,用于标识客户端想要访问的服务器域名。当服务器配置不当,它可能响应...
HTTP拒绝服务整改方案
11-30
缓慢的http拒绝服务攻击是一种专门针对于Web的应用层拒绝服务攻击攻击者操纵网络上的肉鸡,对目标Web服务器进行海量http request攻击,直到服务器带宽被打满,造成了拒绝服务。
host攻击代码Demo.rar
10-29
Host攻击是网络安全领域的一个重要话题,它涉及到HTTP协议中的Host字段,攻击者可以通过篡改这个字段来欺骗服务器,指向非预期的域名或子域,从而可能引发各种安全问题。 【描述】描述中提到,这个Demo包含了一个...
【软件上线常见漏洞检测目标URL存在http host攻击漏洞
程序猿学社的博客
07-24 2455
常见漏洞扫描修复, 收纳项目上线常见漏洞
关于网站扫描到的几种漏洞及处理办法
Javaming_o_O的博客
05-20 1581
1.Apache JServ protocol service漏洞 问题出在Tomcat的8009端口,错误的提示是8009端口上运行着tcp协议。 解决办法:只能是通过关闭8009端口来实现,但是关闭端口之后对Tomcat有影响,目前还没有找到好的解决办法。 2.HTML form without CSRF protection 问题出在表单提交没有保护,可以伪造一个表单进行提交。 解...
java Host攻击漏洞解决方案
起止洺的博客
01-11 3143
java 解决Host攻击漏洞 在配置文件中配置IP和端口号 server: port: 9099 address: 172.16.64.208 配置过滤器,拦截请求 package com.sgcc.springboot_host; import org.springframework.beans.factory.annotation.Value; import org.springframework.context.annotation.Configuration; impor
关于检测目标URL存在http host攻击漏洞基于Tomcat下的修复
何必为部分生活而哭泣,君不见全部的人生都让人潸然泪下
11-29 3446
修改tomcat下的conf/server.xml文件 将Host中的name修改为静态的域名,如下(原本为localhost
目标URL存在http host攻击漏洞tomcat修复方法
xhyyyyy的博客
03-28 1万+
最近扫描发现很多系统web存在http host攻击漏洞,报告里面的解决方案没有具体写tomcat如何操作,故记录一下整改方法。打开conf    server.xml文件,完善<Host/>元素<Host/>属性:name:主机域名appBase:该主机下的所有应用所在的文件目录比如修改name = “localhost”为 name = “www.xxx.com”...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值