背景
项目上线之后使用绿盟或Acunetix安全扫描工具扫描后发现了头攻击漏洞。截图如下:
漏洞提示
检测工具在检测出漏洞后给予的提示为:
大意为不要使用request中的serverName,也就是说host header可能会在攻击时被篡改,依赖request的方法是不可靠的,形如JSP头部中的:
String path = request.getContextPath();
String basePath = request.getScheme()+"://"+request.getServerName()+":"+request.getServerPort()+path+"/";
1
2
这样的使用方法就会被漏洞检测工具查出来,认定有头攻击漏洞。
解决办法
提示中说,如果是php的话不要用SERVER_NAME,apache和Nginx通过设置虚拟机来纪要非法header,而web开发中常见的运行容器就是tomcat,网络查找出的解决方案大多不适用,最后,我们找到了一个折中的办法。
主要解决办法,就是在请求拦截上面做host合法性校验,拦截掉非法请求。
public class SessionFilter implements Filter {
public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException,
ServletException {
HttpServletRequest request = (HttpServletRequest) req;
HttpServletResponse response = (HttpServletResponse) res;
// 头攻击检测
String requestHost = request.getHeader("host");
if (requestHost != null && !ServerWhiteListUtil.isWhite(requestHost)) {
response.setStatus(403);
return;
}
...
}
}
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
上述代码是常见的web系统拦截器doFilter方法,我们在方法开始的地方做host判定,如果不在白名单内,则返回403状态码。漏洞工具收到403后认为访问请求已被终止,就不会报错了。
其中,ServerWhiteListUtil.isWhite(requestHost))方法:
package ...;
import java.io.InputStreamReader;
import java.util.List;
import com.google.gson.Gson;
import com.google.gson.reflect.TypeToken;
/**
* 服务器白名单列表
*/
public class ServerWhiteListUtil {
private static List<String> whiteList = null;;
static {
try {
// 读取白名单列表
whiteList = new Gson().fromJson(
new InputStreamReader(ServerWhiteListUtil.class.getResourceAsStream("/serverWhiteList.json")),
new TypeToken<List<String>>() {
}.getType());
} catch (Exception e) {
e.printStackTrace();
}
}
/**
* 判断当前host是否在白名单内
* @param host 待查host
* @return boolean 是否在白名单内
*/
public static boolean isWhite(String host) {
if (whiteList == null || whiteList.size() == 0) {
return true;
}
for (String str : whiteList) {
if (str != null && str.equals(host)) {
return true;
}
}
return false;
}
}
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
配置项serverWhiteList.json文件(放置在src根目录或resource配置目录,根据项目框架来定):
[
"www.aaa.com:78",
"www.bbb.com:178"
]
---------------------
作者:ahuyangdong
来源:CSDN
原文:https://blog.csdn.net/ahuyangdong/article/details/79091699?utm_source=copy
版权声明:本文为博主原创文章,转载请附上博文链接!
相关推荐
springboot 解决host漏洞的实例
主要是记录了如何在iis配置修改host主机泄露漏洞,其中含iis重写小插件。
一般通用web程序是如果想知道网站域名不是一件简单的事情,如果用一个固定的URI来作为域名会有各种麻烦。开发人员一般是依赖HTTP Hostheader(比如在php里是_SERVER["HTTP_HOST"]),而这个header很多情况下是靠不住...
缓慢的http拒绝服务攻击是一种专门针对于Web的应用层拒绝服务攻击,攻击者操纵网络上的肉鸡,对目标Web服务器进行海量http request攻击,直到服务器带宽被打满,造成了拒绝服务。
IIS URL重写工具 rewrite_x86_zh-CN 用于修复网络全漏洞:检测到目标URL存在http host头攻击漏洞 防止未经授权的访问
IIS URL重写工具,包含32位和64位两个版本 用于修复网络全漏洞:检测到目标URL存在http host头攻击漏洞 防止未经授权的访问
URL存在http host头攻击漏洞-修复方案
web渗透: HTTP Host头攻击 web渗透: SQL注入(上) web渗透: SQL注入(下) web渗透: XML注入攻击 web渗透: XXE外部实体注入 web渗透: 服务器端包含注入(SSI注入) web渗透: XPath注入 web渗透: 命令注入 web渗透: ...
NULL 博文链接:https://zhoudan241.iteye.com/blog/1432014
host头攻击代码Demo.rar 里面包涵一个验证白名单功能的Filter 以及web.xml。注意配置Filter 放在最上面
最近做一个项目应用到了Apache要在tomcat下部署并且开启https 涉及到大量的配置文件,具体可以...1、目标URL存在http host头攻击漏洞 2、缓慢http拒绝服务攻击 3、web应用服务器版本泄露 4、点击劫持:X-Frame-Options
在应用程序中调用不同服务时,经常会遇到No route to host程序异常的问题。下文分享该问题的排查过程与解决方法。
防止Host头攻击1
java.sql.SQLException: null, message from server: “Host ‘223.72.41.7’ is not allowed to connect to this MySQL server” 客户端访问时报错: 解决方法: 1,登陆服务器 mysql> use mysql; //用mysql ...
Oracle10G控制台解决办法-Io 异常:Unknown host specified解决方法
解决raise InvalidURL(f"Invalid URL url!r: No host supplied")
操作方法:解压缩拷贝目录quiz到安装目录,例如D:\,解压后的目录应该满足D:\ quiz\ WEB-INF; 5、 访问系统 启动Oracle、Tomcat,输入地址http://localhost:[port]/quiz/即可访问,输入用户名admin,密码admin。
XSS漏洞检测工具,Linux下安装使用,很简单 Examples of usage: ============================== * Simple injection from URL: $ python XSSer.py -u "http://host.com" ------------------- * Simple injection...
使用httpclient抓取页面信息时需要填写HOST,使用此正则提取抓取URL的HOST内容
WSU Web爬网程序 检索URL的URL并将URL存储在Elasticsearch中。 概述 WSU Web爬网程序在Elasticsearch中维护URL的记录。 通过爬网附加到URLHTML锚元素中的所有href属性来收集这些URL。 一系列优先级和时间表确定了...