漏洞描述
为了方便的获得网站域名,开发人员一般依赖于HTTP Host header。例如,在php里用_SERVER[“HTTP_HOST”]。但是这个header是不可信赖的,如果应用程序没有对host header值进行处理,就有可能造成恶意代码的传入。
漏洞验证
如图所示,在burp suite工具里对host地址进行修改,右边服务器返回的href就会变成我们所修改的地址。
修复建议
web应用程序应该使用SERVER_NAME而不是host header。在Apache和Nginx里可以通过设置一个虚拟机来记录所有的非法host header。在Nginx里还可以通过指定一个SERVER_NAME名单,Apache也可以通过指定一个SERVER_NAME名单并开启UseCanonicalName选项。
修复方法
过滤器类:
import javax.servlet.*;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
/**
* Created by Administrator on 2019/8/14 0014.
*/
@SuppressWarnings("serial")
public class HttpHostFilter extends HttpServlet implements Filter {
@Override
public void init(FilterConfig filterConfig) throws ServletException {
}
@Override
public void doFilter(ServletRequest req, ServletResponse res, FilterChain filterChain) throws IOException, ServletException {
HttpServletRequest request = (HttpServletRequest) req;
HttpServletResponse response = (HttpServletResponse) res;
StringBuffer url = request.getRequestURL();
String s = request.getRequestURL().toString();
// 头攻击检测 过滤主机名
String requestHost = request.getHeader("host");
if (requestHost != null && !checkBlankList(requestHost)) {
response.setStatus(403);
return;
}
filterChain.doFilter(request, response);
}
//判断主机是否存在白名单中
private boolean checkBlankList(String host){
if(host.contains("127.0.0.1")){//此处为自己网站的主机地址
return true;
}
return false;
}
}
web.xml中的过滤器配置:
<!--头攻击过滤-->
<filter>
<filter-name>HttpHostFilter</filter-name>
<filter-class>
com.xmgrid.view.filter.HttpHostFilter
</filter-class>
</filter>
<filter-mapping>
<filter-name>HttpHostFilter</filter-name>
<url-pattern>/*</url-pattern>
<dispatcher>REQUEST</dispatcher>
<dispatcher>FORWARD</dispatcher>
</filter-mapping>
总结
该漏洞的修复方法在网上多种多样,其中提及最多的有apache和ngnix修改配置的这两种方法,由于最常用的web容器是tomcat,因此在尝试了一些配置之后,就决定用过滤器过滤主机地址的方法去实现,如果被恶意修改主机地址,该主机地址不存在我们写的地址白名单中,服务器就会返回403,就不会被监测到存在头攻击的漏洞。