检测到目标URL存在http host头攻击漏洞咋修复
漏洞介绍,见乌云文章:利用HTTP host头攻击的技术一个有漏洞的JSP代码案例:
使用HTTP代理工具,如BurpSuite篡改HTTP报文头部中HOST字段时,加红框中变量即客户端提交的HOST值,该值可被注入恶意代码。因为需要控制客户端的输入,故该漏洞较难利用。修复建议:不要使用类似JSP中request.getServerName( )方法引用客户端输入的hostname值。拼接生成URL时引用静态变量定义的服务器域名,或者使用相对路径生成URL。最后:一切的用户输入(用户可控变量)都是不可信的,故减少用户可控参数、对用户输入进行校验是处理这类安全漏洞的思路。
■网友
泻药host 写入配置,取值时只从配置取。
■网友
【检测到目标URL存在http host头攻击漏洞咋修复】 .net环境下也检测出来了,怎么破?
■网友
网上搜来搜去说的都是nginx\\apache或者Django什么的,我们一个应用,就直接是IIS环境,也被检测出来这个了,不知道怎么解决。求问
■网友
AppScan 安全扫描,建议装上
推荐阅读
![[中草药]此三草是农村“三宝”,路边常见却少有人懂,殊不知是珍贵中草药](https://p0.ssl.qhimgs4.com/t0178a30b36f6c1986a.jpg)
- 人员■海安疾控:北京确诊病例密接者及相关人员检测结果均为阴性
- 沈阳市铁西区、皇姑区、于洪区开展第二轮全员核酸检测
- 沈阳全员检测:已设置1549个检测点64万余人检测结果均阴性
- 大连全员核酸检测结束采样637.9万人次
- 北京来宁波新冠病毒感染者密接人员第二次核酸检测均为阴性
- 河北三河公布一新冠病毒阳性检测者的密接者行动轨迹
- 大连已完成475.65万人次核酸检测采样
- 北京至宁波新冠病毒感染者所有密接者首次检测均为阴性
- 北京西城无症状感染者所在社区9566人已全部完成检测采样
- 大连:即日起全面开展核酸检测工作做到应检尽检