漏洞修复:检测到目标URL存在http host头攻击漏洞

懵懂的女人 提交于 2019-12-16 07:46:00

绿盟漏洞详细描述

在这里插入图片描述

修复方案

通过nginx设置server_name修复

server {
	listen 80 default;
	server_name _;
	location / {
		return 403;
		#return errors/403.html;
	}
    }	

    server {
        listen       80;
		server_name   42.123.72.129;
		······
    }

修复前

正常请求头,Host: 42.123.72.129,修改Host返回200,存在host头攻击漏洞

在这里插入图片描述

修复后

正常请求头,Host: 42.123.72.129, 修改Host,返回nginx指定错误码403,修复成功
在这里插入图片描述

验证过程涉及到的BurpSuite工具简要使用说明

Burp Suite 是用于攻击web 应用程序的集成平台,包含了许多工具。Burp Suite为这些工具设计了许多接口,以加快攻击应用程序的过程。所有工具都共享一个请求,并能处理对应的HTTP 消息、持久性、认证、代理、日志、警报。

下载BurpSuite

标签
易学教程内所有资源均来自网络或用户发布的内容,如有违反法律规定的内容欢迎反馈
该文章没有解决你所遇到的问题?点击提问,说说你的问题,让更多的人一起探讨吧!