漏洞笔记 | Host头攻击

0x00 概述

漏洞名称:Host头攻击

风险等级:低

问题类型:管理员设置问题

0x01 漏洞描述

很多场景下,开发者都相信HTTP Host header传递的参数值用来更新链接导出脚本或者一些敏感操作。但该参数是可控的,若没有对其进行处理,就有可能造成恶意代码的传入。

0x02 漏洞危害

如果应用程序没有对Host字段值进行处理,就有可能造成恶意代码的传入。

0x03 修复建议

对Host字段进行检测

Nginx,修改ngnix.conf文件,在server中指定一个server_name名单,并添加检测。

Apache,修改httpd.conf文件,指定ServerName,并开启UseCanonicalName选项。

Tomcat,修改server.xml文件,配置Host的name属性。

原文地址:https://www.teamssix.com/year/191127-201443.html 参考文章: https://www.jianshu.com/p/690acbf9f321

本文分享自微信公众号 - TeamsSix(OldCat0111)

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2019-11-28

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • Python Scrapy 爬虫框架 | 1、简介与安装

    下图展示了 Scrapy 的体系结构及其组件概述,在介绍图中的流程前,先来简单了解一下图中每个组件的含义。

    TeamsSix
  • 漏洞笔记 | IIS短文件名泄露

    此漏洞实际是由HTTP请求中旧DOS 8.3名称约定(SFN)的代字符(〜)波浪号引起的。

    TeamsSix
  • 经验总结 | 常见的HTTP方法

    HTTP1.1新增了六种请求方法:OPTIONS、PUT、PATCH、DELETE、TRACE 和 CONNECT方法。

    TeamsSix
  • PyInstaller 打包 pytho

    主题是使用PyInstaller 打包python时遇到一些问题以及解决方案,其中将要打包的程序是用tensorflow做的LSTM算法,这里不会涉及这个算法详...

    py3study
  • 生信分析人员如何系统入门Linux(2019更新版)

    在生信分析人员如何系统入门R(2019更新版) 里面,我提到过Linux基本上几十年都没有怎么变动过基础知识的,哪怕你现在搜索到十几年前的Linux教学视频,也...

    生信技能树
  • 还记得当前火爆全球的像素小鸟吗? 我用Cocos Creator复刻了一版!

    公众号开通了小半年,一直也不知道写点什么,身为一个只会撸码的程序猿,每天写bug,改bug,成了一个循环。写文章这种事,好像离我很遥远。最近一段时间关注了很多技...

    一枚小工
  • 大数据成神之路-Linux基础

    真正的大数据工程师,linux命令是横着写很长,不是一句一句执行的,尤其是需要检测cpu,内存,网络IO等各种开销,就需要掌握各种命令,命令主要分为这几种,一是...

    大数据技术与架构
  • 让混合云解决方案发挥最大功效的技巧

    虽然云计算成为了很多企业的有效解决方案,但仍有许多人尚未完全将其IT外包到云服务中。这就是为什么许多企业会选择切换至混合云解决方案:将私有的IT基础设施和公有云...

    静一
  • NumPy进阶修炼|热身20题

    大家好,NumPy系列讲解已经更新了两期,今天将整理一些相关的题目来实际操作一下,因为在Pandas系列中有涉及到部分NumPy操作因此我也不确定最终会有多少题...

    刘早起
  • 锐角三角形,堆叠和不可折叠的多面体(CS CG)

    我们提出了拓扑凸边可展开的多面体的新示例,就是在组合学上等同于凸多面体,但又不能沿其边缘切割并展开成一块平面而不重叠的多面体。 一组示例是锐角三角形,就是每个面...

    Rosalie

扫码关注云+社区

领取腾讯云代金券