漏洞 host 攻击 过滤器 添加白名单

最新推荐文章于 2024-05-27 23:13:14 发布
最新推荐文章于 2024-05-27 23:13:14 发布
阅读量3.3k 收藏
点赞数
分类专栏: 漏洞 文章标签: host 攻击 过滤器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/w2363075992/article/details/82353231
版权
本文档介绍了一个实现过滤器防御主机攻击的Java程序,它检查HTTP请求头的`Host`字段,并根据白名单进行过滤。程序会设置`X-Frame-Options`来防止点击劫持,并在请求参数中检测潜在的安全风险,如SQL注入和脚本注入。同时,程序还读取`serverWhiteList.json`文件以确定合法的主机白名单。
摘要由CSDN通过智能技术生成

import java.io.File;
import java.io.FileInputStream;
import java.io.FileReader;
import java.io.IOException;
import java.io.InputStreamReader;
import java.io.PrintWriter;
import java.io.Reader;
import java.util.ArrayList;
import java.util.Enumeration;
import java.util.Iterator;
import java.util.List;
import java.util.Map;
import java.util.regex.Matcher;
import java.util.regex.Pattern;
import java.util.regex.PatternSyntaxException;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

import org.apache.commons.lang.StringUtils;
import org.springframework.util.ResourceUtils;

import com.itsv.gbp.core.web.filter.CustomException;

/**
 * @preserve
 */

public class IntceptorFilter extends HttpServlet implements Filter {
    private FilterConfig filterConfig; // Handle the passed-in FilterConfig

    public void init(FilterConfig filterConfig) throws ServletException {
        this.filterConfig = filterConfig;
    }

    /**
     * Process the request/response pair
     * 
     * @preserve
     */
    public void doFilter(ServletRequest request, ServletResponse response,
            FilterChain filterChain) throws IOException {

        HttpServletRequest req = (HttpServletRequest) request;
        HttpServletResponse res = (HttpServletResponse) response;
        // hwj
        res.addHeader("Set-Cookie", " Path=/;  HttpOnly");  //Cookie 缺少 HttpOnly属性
        res.addHeader("X-Frame-Options","SAMEORIGIN");  //防止 x-frame-options 缺失
        /*x-frame-options 属性值
         * DENY 表示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许。
         * SAMEORIGIN 表示该页面可以在相同域名页面的 frame 中展示
         * ALLOW-FROM uri表示该页面可以在指定来源的 frame 中展示。
         */
        
        // 头攻击检测host 添加白名单
        String requestHost = req.getHeader("host");  //当前访问的url地址host
        if (requestHost != null && !isWhite(requestHost)) {
            res.setStatus(403);
            return;
        }

        
        // clientRequest 记录真正的被请求的 URL 比如 /index.jsp;/login.jsp;/
        String home = req.getScheme() + "://" + req.getServerName() + ":"
                + req.getServerPort();

        String clientRequest = req.getRequestURL() + "?" + req.getQueryString();// req.getServletPath();
        System.out.println("过滤器===========" + clientRequest);

        // -------lfh 2016.2.24,针对登陆界面的参数判断--------//
        Map parameters = request.getParameterMap();
        if (parameters != null && parameters.size() > 0) {
            for (Iterator iter = parameters.keySet().iterator(); iter.hasNext();) {
                String key = (String) iter.next();
                String[] values = (String[]) parameters.get(key);
                if ("dwdm".equals(key) || "password".equals(key)
                        || "dwdjzh".equals(key)) {
                    for (int i = 0; i < values.length; i++) {
                        if (!valueFilter1(values[i])
    

最低0.47元/天 解锁文章
w2363075992
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
项目里安全扫描出漏洞的各种解决方案(host攻击 跨站脚本攻击以及sql注入 重放攻击
qq_42303467的博客
09-24 870
1 不安全的HTTP方法 检测到未禁用 OPTIONS 等 HTTP 方法 解决方式: 1.在web.xml中增加 <security-constraint> <web-resource-collection> <web-resource-name>dmsbSec</web-resource-name> <url-pattern>/*</url-pattern> <http-method>PUT<
每日漏洞 | Host攻击
03-12 3118
每日漏洞 | Host攻击
使用/etc/hosts.allow和/etc/hosts.deny,设置SSH白(黑)名单
热门推荐
yjk13703623757的博客
08-23 1万+
TCP Wrapper是Linux系统中的一个通用的标准安全框架。其作用类似于IPTABLES, 用于控制从inetd启动的基于TCP的应用程序的访问。其守护进程是tcpd, 通过读取如下两个文件中的相关策略配置,决定允许还是拒绝到达的TCP连接。 /etc/hosts.allow /etc/hosts.deny 配置规则时,先配置hosts.allow规则,然后再配置hosts.deny规则。一般的做法是在hosts.allow中配置信任主机规则,然后到hosts.deny中拒绝所有其他主机。还有一种
Host攻击
最新发布
wfdfg的博客
05-27 2487
(也被称为HTTP Host头注入攻击)是一种Web安全漏洞攻击者通过篡改HTTP求中的Host头部字段来执行恶意操作。在HTTP协议中,Host头部字段用于指定求所针对的域名,以便服务器能够正确地将求路由到相应的Web应用程序。
通过配置hosts.allow和hosts.deny文件实现ssh白名单
Oliver King 的小窝
04-23 2941
reference: centos 安全配置应用之hosts.allow和hosts.deny https://blog.csdn.net/yangjiehuan/article/details/9253855 通过配置hosts.allow和hosts.deny文件允许或禁止ssh或telnet操作 https://www.cnblogs.com/lsdb/p/7095288.ht...
让你成为网络世界中有破坏力的人-HTTP报文HOST攻击
Eason_LYC安全白帽子的成长博客
05-19 2443
文中有彩蛋哦。随我的文章细细读来,让你成为一个在网络世界中有破坏力的人! tips:遵守国家相关法律法规。在专用靶场或取得合法授权情况下进行安全渗透测试。
host攻击代码Demo.rar
10-29
2. **白名单验证**:为防止Host攻击,应用可以实施白名单策略,只允许特定的Host值通过。这通常涉及检查Host是否匹配预先定义的一组安全域名或子域名。如果Host头不在白名单内,服务器则拒绝处理求,从而提高...
利用HTTPhost攻击的技术
01-30
一般通用web程序是如果...Hostheader(比如在php里是_SERVER["HTTP_HOST"]),而这个header很多情况下是靠不住的。而很多应用是直接把这个值不做html编码便输出到了页面中,比如:还有的地方还包含有secretkey和token,
host攻击.pdf
05-07
URL存在http host攻击漏洞-修复方案
Host文件编辑器1.0.exe
01-08
本文件是Windows系统专用的host文件的编辑器,可以修改host
host主机头漏洞解决.zip
09-28
标题中的“host主机头漏洞”是指在Web服务器配置中,如果允许任意的主机头(Host Header)求,可能会导致安全问题。主机头是HTTP求的一部分,用于标识客户端想要访问的服务器域名。当服务器配置不当,它可能响应...
HOST攻击防御,JAVA白名单拦截过滤全站所有
生活没有圈的博客
10-10 1194
再这里不对HOST攻击多做阐述。本文做白名单方式对比host地址是否被篡改。过滤拦截host地址是否存在白名单中,存在就正常访问,否则返回403。 1.serverWhiteList.json配置ip文件 [ "localhost:8443" ] 2.引入gson-2.8.5.jar包 3.读取白名单文件 /** * HOST白名单 * @author 王小东 * @date 2020年9月15日 下午3:00:44 * @version 1.0 */ public clas
关于Host头的一些漏洞
weixin_59571952的博客
07-31 3287
关于Host头的一些漏洞
host攻击漏洞
小强快跑~~
11-18 1万+
一个服务器上跑多个程序是非常常见的现象。 但是这样做后会有一个问题,那就是容易造成 Host攻击host 头(host header或称主机头)攻击,非常常见。比如,在 jsp 中,我们通常可能存在类似下面的代码。 <script type="text/javascript" src="<%=path=%>/js/zcms/zDrag.js"></script> <script src="<%=request.getContextPath()=%&
如何检测和发现 host攻击漏洞
weixin_68778384的博客
04-11 696
Host攻击是一种常见的网络攻击方式。攻击者通过篡改HTTP求中的Host头字段,将求重定向到其他网站或服务器,从而获取敏感信息或进行其他恶意活动。下面是一些检测和发现Host攻击漏洞的方法: 1.抓包分析: 使用抓包工具(如Wireshark)捕获网络流量,分析HTTP求中的Host头字段。如果发现求的Host头与实际域名不匹配,或者指向一个可疑的域名或IP地址,则可能存在Host攻击漏洞。 2.异常检测: 监控网络流量和日志文件,寻找异常的求模式。例如,监控HTTP求中的Host头字段
安全漏洞host攻击漏洞
zhen_hero的博客
03-27 5055
安全漏洞host攻击漏洞 漏洞描述 渗透测试人员发现,抓包修改host头,在返回包中的base标签中的值会随host值改变,说明存在host攻击漏洞漏洞建议 建议使用SERVER_NAME而不是hostheader。 脆弱性评价: 严重程度 高 ...
URL存在http host攻击漏洞,修复方案
xin292930540的专栏
09-15 1万+
漏洞描述:为了方便的获得网站域名,开发人员一般依赖于HTTP Hostheader。例如,在php里用_SERVER[“HTTP_HOST”]。但是这个header是不可信赖的,如果应用程序没有对host header值进行处理,就有可能造成恶意代码的传入。访问网站时如果访问路径中缺少/,大多数中间件都会自动将路径补全,返回302或301跳转如下图,Location位置的域名会使用Host头的值。这种情况实际上风险较低,难以构成Host攻击。但是由于大多漏洞扫描。
URL存在http host攻击漏洞-修复方案
tengtianshan的专栏
03-19 637
【使用Nginx的修复方案】 if ( $host !~* " 10.4.15.1| 10.9.4.9 " ) { return 403; } 【基于tocmat的修复方案】 经测试,最低支持Tomcat6.0.x以上版本的修复。 修复方式 打开tomcat的conf目录中的server.xml文件,将Host节点做如下配置: <Host name="www.baidu.com" appBase="webapps" unpackWARs="true"...
http host攻击漏洞
10-19
HTTP Host攻击漏洞是一种网络安全漏洞攻击者可以通过修改HTTP求中的Host头来绕过站点的安全控制,从而实施各种攻击,例如Dangling Markup攻击、密码重置攻击等。攻击者可以通过注入覆盖Host头的字段,将求指定到攻击者服务器上,从而窃取用户的敏感信息。这种漏洞通常存在于站点没有正确验证Host头的情况下。为了防止这种漏洞,站点应该正确验证和过滤HTTP求中的Host头,以确保求只能被发送到正确的服务器上。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值