安全漏洞之host头攻击漏洞
漏洞描述
渗透测试人员发现,抓包修改host头,在返回包中的base标签中的值会随host值改变,说明存在host头攻击漏洞。
漏洞建议
建议使用SERVER_NAME而不是host header。
脆弱性评价:
严重程度 |
高 |
|
中 |
■ |
低 |
|
修复过程:
web.xml:
<servlet>
<servlet-name>image</servlet-name>
<servlet-class>com.linkage.component.util.file.ImageServlet</servlet-class>
</servlet>
<servlet-mapping>
<servlet-name>bssframe</servlet-name>
<url-pattern>/portal</url-pattern>
</servlet-mapping>
<servlet-mapping>
<servlet-name>attach</servlet-name>
<url-pattern>/attach</url-pattern>
</servlet-mapping>
<servlet-mapping>
<servlet-name>image</servlet-name>
<url-pattern>/image</url-pattern>
</servlet-