检测到目标URL存在http host头攻击漏洞
来源:互联网 发布:windows player手机版 编辑:程序博客网 时间:2024/06/07 01:09
检测到目标URL存在http host头攻击漏洞。
这个漏洞通常表示目标URL会被截取,攻击者可以修改了头信息中的”host”属性后再调用,会导致最后导向的目标主机被篡改。
那为什么会有这个漏洞产生?因为代码中使用了系统变量$_SERVER[‘server_name’],它获取的正是http headers中的host信息(在通常情况下是这样,如果server的端口修改了,那host = server_name : server_port)。
$_SERVER[‘http_host’]保存的也是http request headers中的host信息。http_host和server_name是有可能不同的,这在于是否在apache配置文件中配置了“UseCanonicalName On”的配置项,如果设置了此配置,则http_host是http request headers中的host信息,而server_name则是apache配置文件中配置的ServerName的信息。未设置此配置项时,http_host与server_name都是http request headers中的host信息。
要避免这个漏洞,需要注意不要使用PHP的系统变量$_SERVER[‘server_name’]。
如果需要定位某些操作的链接信息,建议添加相关配置后使用配置的信息。(如果必须要用,就配置“UseCanonicalName On”并设置“ServerName”吧)
如果使用框架(例如thinkphp),在视图中也不要使用系统变量来进行某些操作$Think.server.server_name。
- 检测到目标URL存在http host头攻击漏洞
- 检测到目标URL存在http host头攻击漏洞
- java 漏洞处理--http host头攻击漏洞处理方案
- XXx外网检测到目标URL存在基于DOM的跨站脚本漏洞
- 关于Host头攻击
- host头攻击解决方法
- http头host字段详解
- 检测cgi-bin漏洞存在方法
- 黑客攻击方式之水坑攻击和URL跳转漏洞
- JAVA:URL存在跨站漏洞,注入漏洞解决方案
- JAVA:URL存在跨站漏洞,注入漏洞解决方案
- http头中的host字段详解
- http头中的host字段详解
- http头中的host字段详解
- http头中的host字段详解
- http头中的host字段详解
- http头中的host字段详解
- http头中的host字段详解
- hdu 1269
- android活动的启动模式
- linux c语言之pipe()函数
- Struts2拦截器
- git命令大全--常用命令
- 检测到目标URL存在http host头攻击漏洞
- 【算法学习】一行核心代码实现阶乘函数和Fibonacci数列
- Leetcode之Non-decreasing Array 问题
- CentOS7 升级到7.4
- Reversing Linked List
- appium在android7.0真机上测试程序时报错command failed shell “ps ‘uiautomator’”的解决方式
- C++运算符重载
- NS2:架构(节点、链路、代理、应用层)
- RegExp