漏洞名称:Host头攻击
风险等级:低
问题类型:管理员设置问题
很多场景下,开发者都相信HTTP Host header传递的参数值用来更新链接导出脚本或者一些敏感操作。但该参数是可控的,若没有对其进行处理,就有可能造成恶意代码的传入。
如果应用程序没有对Host字段值进行处理,就有可能造成恶意代码的传入。
对Host字段进行检测
Nginx,修改ngnix.conf文件,在server中指定一个server_name名单,并添加检测。
Apache,修改httpd.conf文件,指定ServerName,并开启UseCanonicalName选项。
Tomcat,修改server.xml文件,配置Host的name属性。
原文地址:https://www.teamssix.com/year/191127-201443.html 参考文章: https://www.jianshu.com/p/690acbf9f321