V10关于安全测试 host请求头攻击 的解决操作(通过配置虚拟主机操作)
问题:http host头攻击或者检测到目标URL存在http host头攻击
- 测试过程
通过手工测试,发现被测网站存在主机头攻击漏洞的缺陷,以下是详细信息:
|
GET /data/business HTTP/1.1 Host: wwwwwww.com:6888 Upgrade-Insecure-Requests: 1 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/106.0.0.0 Safari/537.36 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9 Accept-Encoding: gzip, deflate Accept-Language: zh-CN,zh;q=0.9 Connection: close
|
截图:主机头攻击漏洞
通过手工测试,修改请求头数据,添加自定义的请求头信息:“Host: {任意网址和代码}”,服务器直接执行代码被迫跳转到攻击者指定的任意网址。
- 风险分析
攻击者可以通过操作主机头,控制当前WEB应用程序,访问恶意的域名和执行主机头中添加的任意内容。会导致缓存中毒、CSRF攻击、跨站脚本XSS攻击,或执行恶意内容导致服务器异常。
- 修复建议
- Web应用程序应该使用SERVER_NAME而不是主机头。同时需要创建一个虚拟的虚拟主机,捕捉无法识别的主机头的所有请求。
- 中间件执行中的主机头攻击漏洞,可以通过升级服务器中间件到最新稳定版本。
解决:
1、创建虚拟服务器:
2、设置域名
3、部署应用
4、重启V10
注:配置完不重启V10,会出现访问404的问题