检测到目标URL存在http host头攻击漏洞

最新推荐文章于 2024-05-18 09:58:32 发布
最新推荐文章于 2024-05-18 09:58:32 发布
阅读量1.3k 收藏
点赞数
分类专栏: Java 文章标签: http servlet java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ud_world/article/details/127104404
版权

1.添加java过滤器

import com.xx.sys.core.util.ResourceUtil;
import org.springframework.http.HttpStatus;

import javax.servlet.*;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.util.Arrays;
import java.util.List;
import java.util.stream.Collectors;

/**
 * @Description: 检测到目标URL存在http host头攻击漏洞
 * @Author: t
 * @Createtime: 2022/9/28 11:30
 */
public class HostCheckFilter implements Filter {
    @Override
    public void init(FilterConfig filterConfig) throws ServletException {

    }

    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
        //从配置文件或其他地方获取 正确的值 例:public.cnemc.cn,192.168.1.1
        String hostName = ResourceUtil.getConfigByName("127.0.0.1");
        String[] split = hostName.split(",");
        List<String> hostNameList = Arrays.stream(split).collect(Collectors.toList());
        HttpServletRequest request = (HttpServletRequest) servletRequest;
        String host = request.getHeader("Host");
        if(host.contains(":")){
            host = host.substring(0, host.indexOf(":"));
        }
        if (hostNameList.contains(host)){
            filterChain.doFilter(servletRequest, servletResponse);
        }else{
            HttpServletResponse response = (HttpServletResponse) servletResponse;
            response.setStatus(HttpStatus.BAD_REQUEST.value());
            return;
        }
    }

    @Override
    public void destroy() {

    }
}

2.web.xml文件添加配置

<filter>
		<filter-name>hostCheckFilter</filter-name>
		<filter-class>com.xxxx.HostCheckFilter</filter-class>
	</filter>
	<filter-mapping>
		<filter-name>hostCheckFilter</filter-name>
		<url-pattern>/*</url-pattern>
	</filter-mapping>

3.验证是否成功

        例如hostName配置为127.0.0.1,在浏览器中使用localhost无法访问即为成功。

没有什么是不变的
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
检测目标url存在http host攻击漏洞_每日漏洞 | Host攻击
weixin_39625586的博客
12-08 1113
0x00 概述漏洞名称:Host攻击风险等级:低问题类型:管理员设置问题0x01 漏洞描述很多场景下,开发者都相信HTTP Host header传递的参数值用来更新链接导出脚本或者一些敏感操作。但该参数是可控的,若没有对其进行处理,就有可能造成恶意代码的传入。0x02 漏洞危害如果应用程序没有对Host字段值进行处理,就有可能造成恶意代码的传入。0x03 修复建议对Host字段进行检测Ngin...
利用HTTPhost攻击的技术
01-30
一般通用web程序是如果...Hostheader(比如在php里是_SERVER["HTTP_HOST"]),而这个header很多情况下是靠不住的。而很多应用是直接把这个值不做html编码便输出到了页面中,比如:还有的地方还包含有secretkey和token,
Host碰撞漏洞检测工具
最新发布
leah126的博客
05-18 601
项目地址开发语言Star数Go523Java549Python1100。
漏洞修复-检测目标URL存在http host攻击漏洞
魔希达的博客
12-19 2686
这个漏洞通常表示目标URL会被截取,攻击者可以修改了信息中的”host”属性后再调用,会导致最后导向的目标主机被篡改。
检测目标URL存在HTTP host攻击漏洞
weixin_43263019的博客
11-25 1万+
检测目标URL存在HTTP host攻击漏洞 漏洞描述 为了方便获取网站域名,开发人员一般依赖于请求包中的Host首部字段。例如,在php里用_SERVER[“HTTP_HOST”]。但是这个Host字段值是不可信赖的(可通过HTTP代理工具篡改),如果应用程序没有对Host字段值进行处理,就有可能造成恶意代码的传入。 安全:检测目标URL存在http host攻击漏洞(nginx+攻击模拟) 下面是绿盟安全扫描报告 下面给出几种常见服务器的参考修复方法,其中如有错误或不妥的地方欢迎指正。 N
【软件上线常见漏洞检测目标URL存在http host攻击漏洞
程序猿学社的博客
07-24 2530
常见漏洞扫描修复, 收纳项目上线常见漏洞
检测目标URL存在http host攻击漏洞,修复方案:在Web服务器防止Host攻击
热门推荐
06-11 6万+
一、前言 漏洞描述:为了方便的获得网站域名,开发人员一般依赖于HTTP Host header。例如,在php里用_SERVER[“HTTP_HOST”]。但是这个header是不可信赖的,如果应用程序没有对host header值进行处理,就有可能造成恶意代码的传入。 访问网站时如果访问路径中缺少/,大多数中间件都会自动将路径补全,返回302或301跳转如下图,Location位置的域名会使用Host的值。 这种情况实际上风险较低,难以构成Host攻击。但是由于大多漏洞扫描器会将这种情况检测为H
绿盟 检测目标URL存在http host攻击漏洞
itliuting的博客
05-11 474
安全问题
漏洞修复:检测目标URL存在http host攻击漏洞
iceliooo的专栏
12-10 1477
漏洞修复:检测目标URL存在http host攻击漏洞绿盟漏洞详细描述修复方案修复前修复后 绿盟漏洞详细描述 修复方案 通过nginx设置server_name修复 server { listen 80 default; server_name _; location / { return 403; #return errors/403.html; } } ...
检测目标URL存在http host攻击漏洞——验证
Orangesir的博客
12-14 3万+
公司的语音分析系统,局方安全扫描到此漏洞,需要修复 研发修复完成后,使用公司的小安平台(http://sec.iflytek.com/#/portal)测试仍存在漏洞,咨询了公司安全管理部门,我们公司的小安平台存在误报。 本着认真负责的态度,自己从网上找资料使用其他工具进行验证。 工具: ① Burp_Suite_Pro_v1.7.32_Loader_Keygen.zip 【用于攻...
漏洞解决:检测目标URL存在http host攻击漏洞(Docker + nginx)
WNM的博客
07-30 3669
漏洞解决:检测目标URL存在http host攻击漏洞(Docker + nginx)
springboot_host
01-11
主机漏洞通常涉及到恶意用户通过注入恶意的主机名来攻击系统,例如DNS欺骗或中间人攻击。在Spring Boot应用中,这可能表现为未经验证的HTTP请求被转发到错误的服务器,导致数据泄露或服务中断。为了确保Web应用的...
host主机漏洞解决.zip
09-28
标题中的“host主机漏洞”是指在Web服务器配置中,如果允许任意的主机Host Header)请求,可能会导致安全问题。主机HTTP请求的一部分,用于标识客户端想要访问的服务器域名。当服务器配置不当,它可能响应...
HTTP拒绝服务整改方案
11-30
缓慢的http拒绝服务攻击是一种专门针对于Web的应用层拒绝服务攻击攻击者操纵网络上的肉鸡,对目标Web服务器进行海量http request攻击,直到服务器带宽被打满,造成了拒绝服务。
基于HTTP协议Host二义性问题带来的一种漏洞挖掘新思路_李文皓1
08-03
然而,近年来的研究揭示了HTTP协议Host存在二义性问题,这可能导致一系列的安全隐患。 在HTTP请求中,Host是必不可少的部分,它告诉服务器请求应被哪个主机或域名处理。例如,如果一个请求发送到`...
漏洞检测CVE-2017-7525---poc
01-20
这些部字段定义了请求的方法(POST)、目标URL、服务器地址、编码方式、接受数据类型等基本信息。其中`Content-Type`指定为`application/json`表示请求体将采用JSON格式。 ##### JSON Payload: ```json { ...
HTTP协议详解.pdf
01-30
2. **协议分析的优势**:使用HTTP分析器检测网络攻击,提高网络安全。 3. **Content-Length限制漏洞**:讨论了如何利用HTTP协议中的Content-Length字段进行拒绝服务攻击。 4. **拒绝服务攻击**:探讨了利用HTTP协议...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值