漏洞修复:检测到目标URL存在http host头攻击漏洞
绿盟漏洞详细描述
修复方案
通过nginx设置server_name修复
server {
listen 80 default;
server_name _;
location / {
return 403;
#return errors/403.html;
}
}
server {
listen 80;
server_name 42.123.72.129;
······
}
修复前
正常请求头,Host: 42.123.72.129,修改Host返回200,存在host头攻击漏洞
修复后
正常请求头,Host: 42.123.72.129, 修改Host,返回nginx指定错误码403,修复成功
验证过程涉及到的BurpSuite工具简要使用说明
Burp Suite 是用于攻击web 应用程序的集成平台,包含了许多工具。Burp Suite为这些工具设计了许多接口,以加快攻击应用程序的过程。所有工具都共享一个请求,并能处理对应的HTTP 消息、持久性、认证、代理、日志、警报。
下载BurpSuite
来源:CSDN
作者:iceliooo
链接:https://blog.csdn.net/iceliooo/article/details/103480252