java host 头攻击漏洞_URL存在http host头攻击漏洞-修复方案

最新推荐文章于 2024-05-27 23:13:14 发布
最新推荐文章于 2024-05-27 23:13:14 发布
阅读量308 收藏
点赞数
文章标签: java host 头攻击漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_35587255/article/details/114562675
版权

packagecom.cmcc.hy.mobile.config;importjava.io.IOException;importjava.util.Arrays;importjava.util.List;importjavax.servlet.Filter;importjavax.servlet.FilterChain;importjavax.servlet.FilterConfig;importjavax.servlet.ServletException;importjavax.servlet.ServletRequest;importjavax.servlet.ServletResponse;importjavax.servlet.annotation.WebFilter;importjavax.servlet.http.HttpServletRequest;importjavax.servlet.http.HttpServletResponse;importorg.springframework.beans.factory.annotation.Value;/***@authorwangzhengrong

* @date 2019/1/22 11:09*/@WebFilter(filterName= "otherFilter")public class HostFilter implementsFilter {/*** 自定义实现host白名单添加*/@Value("${ALLOWED_SERVERNAMES}")privateString ALLOWED_SERVERNAMES;

@Overridepublic void init(FilterConfig filterConfig) throwsServletException {//System.out.println("Filter初始化中");

}/*** host拦截*/@Overridepublic voiddoFilter(ServletRequest servletRequest, ServletResponse servletResponse,

FilterChain filterChain)throwsIOException, ServletException {

HttpServletRequest request=(HttpServletRequest) servletRequest;

HttpServletResponse response=(HttpServletResponse) servletResponse;//String host = request.getHeader("host");

String serverName =request.getServerName();

System.out.println("serverName-debug:" +serverName);if (!isEmpty(serverName)) {if(checkBlankList(serverName)) {

filterChain.doFilter(servletRequest, servletResponse);

}else{

System.out.println("[serverName deny access tips]->" +serverName);//response.getWriter().print("host deny");

response.setStatus(403);

response.flushBuffer();

}

}else{

filterChain.doFilter(servletRequest, servletResponse);

}

}

@Overridepublic voiddestroy() {//System.out.println("Filter销毁");

}/*** 校验当前host是否在白名单中*/

private booleancheckBlankList(String serverName) {

String[] allowdServerName= ALLOWED_SERVERNAMES.split(",");

List serverNameList =Arrays.asList(allowdServerName);for(String str : serverNameList){if(!isEmpty(str) &&str.equals(serverName)){return true;

}

}return false;

}/*** 判空*/

public booleanisEmpty(Object str) {return str == null || "".equals(str);

}

}

未来土豆导论
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
java Host攻击漏洞解决方案
起止洺的博客
01-11 3154
java 解决Host攻击漏洞 在配置文件中配置IP和端口号 server: port: 9099 address: 172.16.64.208 配置过滤器,拦截请求 package com.sgcc.springboot_host; import org.springframework.beans.factory.annotation.Value; import org.springframework.context.annotation.Configuration; impor
每日漏洞 | Host攻击
03-12 3111
每日漏洞 | Host攻击
java host攻击漏洞_URL存在http host攻击漏洞-修复方案
weixin_31834087的博客
03-04 312
基于Nginx的修复方案#注意Nginx的配置文件格式,空格之类的会影响规则if ( $host !~* " 10.4.15.1| 10.9.4.9 " ) {return 403;}基于tocmat的修复方案经测试,最低支持Tomcat6.0.x以上版本的修复修复方式打开tomcat的conf目录中的server.xml文件,将Host节点做如下配置:unpackWARs="true" aut...
Host攻击
最新发布
wfdfg的博客
05-27 2380
(也被称为HTTP Host注入攻击)是一种Web安全漏洞攻击者通过篡改HTTP请求中的Host部字段来执行恶意操作。在HTTP协议中,Host部字段用于指定请求所针对的域名,以便服务器能够正确地将请求路由到相应的Web应用程序。
使用java代码方式解决XSS、Host Head漏洞问题
gmj53的专栏
08-04 1355
一、使用java代码方式解决XSS漏洞问题 1 ESAPI方式 1.1 引入jar包 compile('org.owasp.esapi:esapi:2.2.3.1') { exclude group: 'log4j', module: 'log4j' exclude group: 'org.slf4j', module: 'slf4j-simple' } 1.2 增加配置文件 1.2.1 ESAPI.properties配置文件内容 # 是否要打印配置属性,默认为true ESAPI.p
host攻击漏洞
小强快跑~~
11-18 1万+
一个服务器上跑多个程序是非常常见的现象。 但是这样做后会有一个问题,那就是容易造成 Host 攻击host (host header或称主机)攻击,非常常见。比如,在 jsp 中,我们通常可能存在类似下面的代码。 <script type="text/javascript" src="<%=path=%>/js/zcms/zDrag.js"></script> <script src="<%=request.getContextPath()=%&
URL存在http host攻击漏洞修复方案
xin292930540的专栏
09-15 1万+
漏洞描述:为了方便的获得网站域名,开发人员一般依赖于HTTP Hostheader。例如,在php里用_SERVER[“HTTP_HOST”]。但是这个header是不可信赖的,如果应用程序没有对host header值进行处理,就有可能造成恶意代码的传入。访问网站时如果访问路径中缺少/,大多数中间件都会自动将路径补全,返回302或301跳转如下图,Location位置的域名会使用Host的值。这种情况实际上风险较低,难以构成Host攻击。但是由于大多漏洞扫描。
利用HTTPhost攻击的技术
01-30
一般通用web程序是如果...Hostheader(比如在php里是_SERVER["HTTP_HOST"]),而这个header很多情况下是靠不住的。而很多应用是直接把这个值不做html编码便输出到了页面中,比如:还有的地方还包含有secretkey和token,
en.stm32_f105-07_f2_f4_usb-host-device_lib_host+device_usb3300_s
10-02
在给定的压缩包"en.stm32_f105-07_f2_f4_usb-host-device_lib_host+device_usb3300_s"中,包含了用于开发STM32 USB Host与Device模式应用的库和示例代码。 USB 3300是USB接口的一种控制器芯片,它支持USB 2.0标准,...
host攻击代码Demo.rar
10-29
【标题】"host攻击代码Demo.rar"是一个包含示例代码的压缩文件,主要展示了如何防范Web应用中的Host攻击Host攻击是网络安全领域的一个重要话题,它涉及到HTTP协议中的Host字段,攻击者可以通过篡改这个...
host主机漏洞解决.zip
09-28
标题中的“host主机漏洞”是指在Web服务器配置中,如果允许任意的主机Host Header)请求,可能会导致安全问题。主机HTTP请求的一部分,用于标识客户端想要访问的服务器域名。当服务器配置不当,它可能响应...
host攻击.pdf
05-07
URL存在http host攻击漏洞-修复方案
检测到目标URL存在http host攻击漏洞修复方案:在Web服务器防止Host攻击
苔的博客
06-24 2568
一、前言 漏洞描述:为了方便的获得网站域名,开发人员一般依赖于HTTP Host header。例如,在php里用_SERVER[“HTTP_HOST”]。但是这个header是不可信赖的,如果应用程序没有对host header值进行处理,就有可能造成恶意代码的传入。 访问网站时如果访问路径中缺少/,大多数中间件都会自动将路径补全,返回302或301跳转如下图,Location位置的域名会使用Host的值。 这种情况实际上风险较低,难以构成Host攻击。但是由于大多漏洞扫描器会将这种情况检测为H
localhost访问错误Forbidden You don't have permission to access / on this server.解决办法(亲测)...
weixin_30644369的博客
11-17 420
httpd.conf文件下找到这段: <Directory /> Options FollowSymLinks AllowOverride None Order deny,allow Deny from all </Directory> 然后修改为: <Directory /> ...
漏洞修复-检测到目标URL存在http host攻击漏洞
魔希达的博客
12-19 2658
这个漏洞通常表示目标URL会被截取,攻击者可以修改了信息中的”host”属性后再调用,会导致最后导向的目标主机被篡改。
Nginx 配置解决host攻击漏洞
热门推荐
如果说你每一步都细心的话,其实你的效率是很快的
10-30 1万+
大神教你~Nginx网络服务
weixin_68579466的博客
07-21 238
Nginx(“enginex”)是一个高性能的HTTP和反向代理服务器。Nginx是由IgorSysoev为俄罗斯访问点开量第二的Rambler.ru站发的,第一个公开版本0.1.0发布于2004年10月4日。其将源代码以类BSD许可证的形式发布,因它的稳定性、丰富的功能集、示例配置文件和低系统资源的消耗而闻名。2011年6月1日,Nginx1.0.4发布。...
java http请求_HTTP部详解及使用Java套接字处理HTTP请求
weixin_31448735的博客
02-21 1566
进行Web开发关键是要了解超文本传输协议(HTTP),该协议用来传输网页、图像以及因特网上在浏览器与服务器间传输的其他类型文件。只要你在浏览器上输入一个URL,最前面的http://就表示使用HTTP来访问指定位置的信息。(大部分浏览器还支持其他一些不同的协议,其中FTP就是一个典型例子。)本文从HTTP协议的结构上初步探讨HTTP协议的工作原理和请求响应格式,并最后通过一个使用Java编写的小H...
crlf注入漏洞 java解决办法_HTTP响应拆分/CRLF注入详解
weixin_36344678的博客
02-23 1256
HTTP响应拆分/CRLF注入详解一:前言HTTP响应拆分漏洞 是一种新型的web攻击方案,它从新产生了很多保险漏洞包括:web缓存沾染、用户信息涂改、窃取敏感用户页面、跨站脚本漏洞。这项攻击计划,包括其衍生的一系列技术产生,是因为web利用程序没有对用户的提交进行严格过滤,导致非法用户可以提交一些歹意字符,更具体来说,是对用户输入的CR 和LF字符不进行严厉的过滤。HTTP响应拆分漏洞 及...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值