HOST头攻击防御,JAVA白名单拦截过滤全站所有请求

最新推荐文章于 2024-05-24 14:53:13 发布
最新推荐文章于 2024-05-24 14:53:13 发布
阅读量1.2k 收藏 4
点赞数
分类专栏: Java 文章标签: java 过滤器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tengchengbaba/article/details/108994063
版权

在这里不对HOST头攻击多做阐述,需要了解什么是HOST攻击请先自行百度。
本文做白名单方式对比host地址是否被篡改。
从而过滤拦截请求host地址是否存在白名单中,存在就正常访问,否则返回403。
1.serverWhiteList.json配置ip文件

[
  "localhost:8443"
]

2.引入gson-2.8.5.jar包
3.读取白名单文件

/**   
 * HOST头白名单
* @version 1.0  
*/
public class ServerWhiteListUtil {
	
	private static List<String> whiteList = null;
	static { 
		try { 
			// 读取白名单列表
			whiteList = new Gson().fromJson( 
					new InputStreamReader(
							ServerWhiteListUtil.class.getResourceAsStream("json/serverWhiteList.json")
					),new TypeToken<List<String>>() {
			}.getType()); 
			} catch (Exception e) { 
				e.printStackTrace(); 
		} 
	} 
	
	/** 判断当前host是否在白名单内 
	 *  @param host
	 *  @return boolean 是否在白名单内 
	 */
	public static boolean isWhite(String host) { 
		if (whiteList == null || whiteList.size() == 0) {
			return true; 
		} 
		for (String str : whiteList) { 
			if (str != null && str.equals(host)) { 
				return true; 
			} 
		} 
		return false; 
	}
}

4.JAVA filter过滤器

public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain)
			throws IOException, ServletException {
			HttpServletRequest request = (HttpServletRequest) req;
			HttpServletResponse response = (HttpServletResponse) res;
			// 头攻击检测
			String requestHost = request.getHeader("host");
			if (requestHost != null && !ServerWhiteListUtil.isWhite(requestHost)) {
				response.setStatus(403);
				response.sendError(403, "访问HOST地址不在白名单中,无法访问!");
				return;
			}else {
				chain.doFilter(req, res);
			}
	}

5.配置web.xml

<filter>
  <filter-name>HostCleanFilter</filter-name>
  <filter-class>com.richwit.util.HostCleanFilter</filter-class>
</filter>
<filter-mapping>
  <filter-name>HostCleanFilter</filter-name>
  <url-pattern>/*</url-pattern>
</filter-mapping>
灯火栏栅处
关注
专栏目录
[网络安全自学篇] 八十三.WHUCTF之CSS注入、越权、csrf-token窃取及XSS总结
杨秀璋的专栏
06-09 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了WHUCTF隐写和逆向题目,包括文字解密、图片解密、佛语解码、冰蝎流量分析、逆向分析。这篇文章将详细讲解一道CSS注入题目,包括CSS注入、越权、csrf-token窃取及CSP绕过,同时总结XSS绕过知识,希望对您有所帮助。第一次参加CTF,还是学到了很多东西。人生路上,要珍惜好每一天与家人陪伴的日子。感谢武汉大学,感谢这些大佬和师傅们(尤其出题和解题的老师们)~
HTTP Host 攻击是什么?
努力是为了站在万人之中,成为别人的光
06-21 5991
随着互联网的发展,网络安全问题变得日益重要。HTTP Host攻击作为一种常见的网络攻击手段,对网站和用户的安全造成潜在威胁。本文将解释什么是HTTP Host攻击攻击的原理,危害以及相应的防御措施。HTTP Host攻击是指攻击者利用HTTP请求中的Host字段进行攻击的一种方式。在HTTP协议中,Host字段用于指定请求的目标主机。攻击者通过伪造或篡改Host字段,来欺骗服务器或应用程序,从而实施各种攻击行为。HTTP Host攻击是一种利用HTTP请求中的Host字段进行攻击的手段。
漏洞 host 攻击 过滤器 添加白名单
w2363075992的博客
09-03 3367
import java.io.File; import java.io.FileInputStream; import java.io.FileReader; import java.io.IOException; import java.io.InputStreamReader; import java.io.PrintWriter; import java.io.Reader; import ...
java host攻击漏洞_Java Web项目漏洞:检测到目标URL存在http host攻击漏洞解决办法...
weixin_34797773的博客
02-13 443
1.问题漏洞描述 2.JSP部中有如下代码,这样的使用方法就会被漏洞检测工具查出来,认定有攻击漏洞。String path = request.getContextPath();String basePath = request.getScheme()+"://"+request.getServerName()+":"+request.getServerPort()+path+"/";3. 请...
http host攻击漏洞校验,Java过滤器实现
weixin_43992507的博客
10-17 964
Java过滤器中 public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException { HttpServletRequest req=(HttpServletRequest) request; // http host攻击漏洞校验 HttpServletResponse res = (HttpServ
java Host攻击漏洞解决方案
起止洺的博客
01-11 3219
java 解决Host攻击漏洞 在配置文件中配置IP和端口号 server: port: 9099 address: 172.16.64.208 配置过滤器,拦截请求 package com.sgcc.springboot_host; import org.springframework.beans.factory.annotation.Value; import org.springframework.context.annotation.Configuration; impor
利用hosts实现拦截游戏外挂
2302_77515766的博客
05-20 1470
通过编辑Hosts文件,可以屏蔽这些作弊工具和外挂所用的域名,从而达到拦截作弊工具和外挂的效果。Hosts文件是一个操作系统中的文本文件,其中包含着一些IP地址和域名的对应关系,它可以将域名解析到指定的IP地址,实现域名屏蔽、跳转等功能。4. 当游戏客户端需要访问被屏蔽的域名时,将会被解析到本地的127.0.0.1地址,从而无法连接到作弊工具和外挂所在的服务器。需要注意的是,Hosts文件的修改需要以管理员身份运行,同时也需要谨慎操作,防止误屏蔽正常的域名和IP地址,造成不必要的问题。
Java面试所需的知识
Tona_ZM的博客
11-15 2804
目录 1. 计算机网络 (1)网络7层架构 (2)TCP/IP原理 (3)HTTP原理 (4)加密算法 2. 数据结构 3. 算法 (1) Java算法 (2)海量数据处理 4. 操作系统 5. MySQL数据库 1、事务 2、数据库结构和锁 3、索引 4、情景题、优化题 5、琐碎知识 6、视图 7、存储过程和触发器 8、约束 6. Redis数据库...
Burp Suite使用介绍总结
h4ck0ne的博客
01-23 5344
Burp Suite使用介绍(一) 小乐天 · 2014/05/01 19:54 Getting Started Burp Suite 是用于攻击web 应用程序的集成平台。它包含了许多工具,并为这些工具设计了许多接口,以促进加快攻击应用程序的过程。所有的工具都共享一个能处理并显示HTTP 消息,持久性,认证,代理,日志,警报的一个强大的可扩展的框架。本文主要介绍它的以下特点: 1.T
04 渗透测试基础
热门推荐
weixin_43234021的博客
01-04 1万+
渗透测试基础一 代码审计1 基础环境搭建(1) Web服务:WAMP+phpstudy(2) phpstudy2 HTML 表单 一 代码审计 1 基础环境搭建 (1) Web服务:WAMP+phpstudy (2) phpstudy 启动问题 端口正常开放 80 http 3306 mysql web根目录[C:\Users\dq\Documents\phpStudy-1-24\phpStudy\WWW] php 探针 phpinfo.php phpmyadmin Apache配置文件:[
一键hosts屏蔽器
10-11
一键hosts屏蔽器,防止木马、恶意网站更改系统。
【WEB篇】网络安全面试
大河之犬的博客
04-08 1327
文件包含是指在程序编写过程中,为了减少重复的代码编写操作,将重复的代码采取从外部引入的方式,但如果包含被攻击者所控制,就可以通过包含精心构造的脚本文件来获取控制权,一般分为本地包含和远程包含,文件读取和文件包含类似,区别是文件读取无法被执行,只能查看文件。攻击者修改目标的host将密码重置链接的域名修改为自己的域名,邮件还是发送到受害者的邮箱,如果受害者没注意的话点击链接,攻击者控制的网站的记录中可以查看到请求记录,然后在拼接成正确的域名即可实现任意用户密码重置。
白名单
木木的博客
09-26 410
iOS9以后加入白名单方可访问要跳转的APP -canOpenURL: failed for URL: “weixin://app/wxdaae92a9cfe5d54c/” - error: “This app is not allowed to query for scheme weixin 近期苹果公司iOS 9系统策略更新,限制了http协议的访问,此外应用需要在“Info.plist”
跨脚本+Host拦截
m0_37587841的博客
10-25 1512
web.xml配置 &lt;!-- spring方式的xss过滤器 start --&gt; &lt;filter&gt; &lt;filter-name&gt;XssFilter&lt;/filter-name&gt; &lt;filter-class&gt;com.enation.eop.XssFilter&lt;/filter-class&gt...
利用Host文件屏蔽恶意网站
fjun0910的专栏
01-10 791
<br />进入Host的办法是 开始 运行 SystemRoot/system32/drivers/etc/hosts 你可以用记事本打开编辑。 把你认为是恶意网站的网址可以加以屏蔽掉。 <br /><br />host文件工作原理: 很多用户都知道在Window系统中有个Hosts文件(没有后缀名),在Windows 98系统下该文件在Windows目录,在Windows 2000/XP系统中位于C:/Windows/System32/Drivers/Etc目录中。该文件其实是一个纯文本的文件,用普通的
通过配置hosts.allow和hosts.deny文件实现ssh白名单
Oliver King 的小窝
04-23 2987
reference: centos 安全配置应用之hosts.allow和hosts.deny https://blog.csdn.net/yangjiehuan/article/details/9253855 通过配置hosts.allow和hosts.deny文件允许或禁止ssh或telnet操作 https://www.cnblogs.com/lsdb/p/7095288.ht...
nginx + confd + etcd 实现nginx动态白名单,防止请求host篡改注入攻击
最新发布
不靠谱助手的博客
05-24 731
nginx + confd + etcd 实现nginx动态白名单,防止请求host篡改注入攻击
hosts 屏蔽定位域名
weixin_30672295的博客
07-12 738
通过修改hosts屏蔽定位服务的域名 #屏蔽百度地图 1.0.0.1 api.map.baidu.com 1.0.0.1 ps.map.baidu.com 1.0.0.1 sv.map.baidu.com 1.0.0.1 offnavi.map.baidu.com 1.0.0.1 newvector.map.baidu.com 1.0.0.1 ulog.imap.baidu.com 1.0.0.1...
修改host阻止登陆网站
PopACai@IS.SJTU
11-26 614
<br />linux <br /> <br />/etc/hosts修改<br />ip   urls<br />将ip改为127.0.0.1<br /> <br />修改iptables<br />修改为drop ip<br /> <br />windows<br />c:/windows/system32/driver/etc/hosts<br />同样修改<br /> <br /> 
HTTP Host攻击防御策略
在给出的Java Servlet代码示例中,`deal.java`会获取请求Host,并基于此构建一个新的URL,然后重定向用户。这种做法的潜在风险在于,如果Host被篡改,服务器会将用户重定向到由攻击者指定的任意URL,可能导致...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值