监测到目标url存在http host头攻击漏洞(项目实战,亲测有效)

置顶 已于 2022-01-26 12:34:32 修改
阅读量4k 收藏 4
点赞数 3
分类专栏: # 漏扫 文章标签: http nginx 网络
于 2022-01-21 20:01:40 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_65987178/article/details/122628360
版权

起因:项目上线时候客户这边要漏扫,扫出一个中危漏洞,漏洞结果如下


这里隐藏的ip地址是公网地址,在nginx配置文件中找到对应server端口下做如下配置       

 

if ($http_host !~ 公网ip)
 { 
  return 403;
}

测试:
 

绑定个自定义域名再测 在电脑设置hosts 
增加一条记录
公网ip  自定义域名
然后用自定义域名去访问 9070 看是不是403
​​​​​​​最后 自定义域名不能访问到才算达到目的

 

 

联系客户进行二次漏扫,完美解决!!!!!

不会飞的鱼223
关注
  • 3
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
host主机漏洞解决.zip
09-28
主要是记录了如何在iis配置修改host主机泄露漏洞,其中含iis重写小插件。
检测目标url存在http host攻击漏洞_每日漏洞 | Host攻击
weixin_39625586的博客
12-08 1026
0x00 概述漏洞名称:Host攻击风险等级:低问题类型:管理员设置问题0x01 漏洞描述很多场景下,开发者都相信HTTP Host header传递的参数值用来更新链接导出脚本或者一些敏感操作。但该参数是可控的,若没有对其进行处理,就有可能造成恶意代码的传入。0x02 漏洞危害如果应用程序没有对Host字段值进行处理,就有可能造成恶意代码的传入。0x03 修复建议对Host字段进行检测Ngin...
检测目标URL存在http host攻击漏洞
jockha的博客
05-07 582
代码方式和nginx配置方式
配置Nginx解决http host攻击漏洞
最新发布
cai454692590的博客
02-29 754
一定要注意 if后面要有空格。
host攻击代码Demo.rar
10-29
host攻击代码Demo.rar 里面包涵一个验证白名单功能的Filter 以及web.xml。注意配置Filter 放在最上面
host攻击.pdf
05-07
URL存在http host攻击漏洞-修复方案
检测目标URL存在HTTP host攻击漏洞
weixin_43263019的博客
11-25 1万+
检测目标URL存在HTTP host攻击漏洞 漏洞描述 为了方便获取网站域名,开发人员一般依赖于请求包中的Host首部字段。例如,在php里用_SERVER[“HTTP_HOST”]。但是这个Host字段值是不可信赖的(可通过HTTP代理工具篡改),如果应用程序没有对Host字段值进行处理,就有可能造成恶意代码的传入。 安全:检测目标URL存在http host攻击漏洞nginx+攻击模拟) 下面是绿盟安全扫描报告 下面给出几种常见服务器的参考修复方法,其中如有错误或不妥的地方欢迎指正。 N
检测目标URL存在http host攻击漏洞,修复方案:在Web服务器防止Host攻击
热门推荐
06-11 5万+
一、前言 漏洞描述:为了方便的获得网站域名,开发人员一般依赖于HTTP Host header。例如,在php里用_SERVER[“HTTP_HOST”]。但是这个header是不可信赖的,如果应用程序没有对host header值进行处理,就有可能造成恶意代码的传入。 访问网站时如果访问路径中缺少/,大多数中间件都会自动将路径补全,返回302或301跳转如下图,Location位置的域名会使用Host的值。 这种情况实际上风险较低,难以构成Host攻击。但是由于大多漏洞扫描器会将这种情况检测为H
配置Nginx解决http host攻击漏洞【详细步骤】
虽千万人,吾往矣
12-12 1万+
安全系统渗透测试出host攻击漏洞,下面是解决步骤。
利用HTTPhost攻击的技术
01-30
一般通用web程序是如果...Hostheader(比如在php里是_SERVER["HTTP_HOST"]),而这个header很多情况下是靠不住的。而很多应用是直接把这个值不做html编码便输出到了页面中,比如:还有的地方还包含有secretkey和token,
springboot_host
01-11
springboot 解决host漏洞的实例
Nginx常见漏洞处理
a630192144的博客
08-25 2622
为了方便的获得网站域名,开发人员一般依赖于HTTP Host header。例如,在php里用_SERVER[“HTTP_HOST”]。但是这个header是不可信赖的,如果应用程序没有对host header值进行处理,就有可能造成恶意代码的传入。
nginx漏洞修复之检测目标URL存在http host攻击漏洞
tootsy_you的博客
07-11 2798
nginx漏洞修复记录
漏洞修复-检测目标URL存在http host攻击漏洞
魔希达的博客
12-19 2195
这个漏洞通常表示目标URL会被截取,攻击者可以修改了信息中的”host”属性后再调用,会导致最后导向的目标主机被篡改。
nginx 漏洞修复
m0_61069946的博客
11-29 374
http host攻击漏洞 服务器启用了OPTIONS方法 nginx 修复xss
URL存在http host攻击漏洞,修复方案
xin292930540的专栏
09-15 1万+
漏洞描述:为了方便的获得网站域名,开发人员一般依赖于HTTP Hostheader。例如,在php里用_SERVER[“HTTP_HOST”]。但是这个header是不可信赖的,如果应用程序没有对host header值进行处理,就有可能造成恶意代码的传入。访问网站时如果访问路径中缺少/,大多数中间件都会自动将路径补全,返回302或301跳转如下图,Location位置的域名会使用Host的值。这种情况实际上风险较低,难以构成Host攻击。但是由于大多漏洞扫描。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

不会飞的鱼223

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值