背景
项目上线之后使用绿盟或Acunetix安全扫描工具扫描后发现了头攻击漏洞。截图如下:
漏洞提示
检测工具在检测出漏洞后给予的提示为:
大意为不要使用request中的serverName,也就是说host header可能会在攻击时被篡改,依赖request的方法是不可靠的,形如JSP头部中的:
String path = request.getContextPath();
String basePath = request.getScheme()+"://"+request.getServerName()+":"+request.getServerPort()+path+"/";
1
2
这样的使用方法就会被漏洞检测工具查出来,认定有头攻击漏洞。
解决办法
提示中说,如果是php的话不要用SERVER_NAME,apache和Nginx通过设置虚拟机来纪要非法header,而web开发中常见的运行容器就是tomcat,网络查找出的解决方案大多不适用,最后,我们找到了一个折中的办法。
主要解决办法,就是在请求拦截上面做host合法性校验,拦截掉非法请求。
public class SessionFilter implements Filter {
public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException,
ServletException {
HttpServletRequest request = (HttpServletRequest) req;
HttpServletResponse response = (HttpServletResponse) res;
// 头攻击检测
String requestHost = request.getHeader("host");
if (requestHost != null && !ServerWhiteListUtil.isWhite(requestHost)) {
response.setStatus(403);
return;
}
...
}
}
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
上述代码是常见的web系统拦截器doFilter方法,我们在方法开始的地方做host判定,如果不在白名单内,则返回403状态码。漏洞工具收到403后认为访问请求已被终止,就不会报错了。
其中,ServerWhiteListUtil.isWhite(requestHost))方法:
package ...;
import java.io.InputStreamReader;
import java.util.List;
import com.google.gson.Gson;
import com.google.gson.reflect.TypeToken;
/**
* 服务器白名单列表
*/
public class ServerWhiteListUtil {
private static List<String> whiteList = null;;
static {
try {
// 读取白名单列表
whiteList = new Gson().fromJson(
new InputStreamReader(ServerWhiteListUtil.class.getResourceAsStream("/serverWhiteList.json")),
new TypeToken<List<String>>() {
}.getType());
} catch (Exception e) {
e.printStackTrace();
}
}
/**
* 判断当前host是否在白名单内
* @param host 待查host
* @return boolean 是否在白名单内
*/
public static boolean isWhite(String host) {
if (whiteList == null || whiteList.size() == 0) {
return true;
}
for (String str : whiteList) {
if (str != null && str.equals(host)) {
return true;
}
}
return false;
}
}
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
配置项serverWhiteList.json文件(放置在src根目录或resource配置目录,根据项目框架来定):
[
"www.aaa.com:78",
"www.bbb.com:178"
]
---------------------
作者:ahuyangdong
来源:CSDN
原文:https://blog.csdn.net/ahuyangdong/article/details/79091699?utm_source=copy
版权声明:本文为博主原创文章,转载请附上博文链接!
相关推荐
### HTTP拒绝服务整改方案 #### 一、概述 ... - 设置警报机制,当检测到攻击迹象时立即通知管理员。 通过上述措施,可以在一定程度上缓解和抵御缓慢的HTTP拒绝服务攻击,确保Web应用的稳定运行和服务质量。
Host头攻击是一种针对Web应用程序的安全漏洞,主要利用HTTP请求中的Host头字段来进行恶意操作。通常情况下,Web服务器和应用程序通过解析HTTP请求中的Host头来确定目标站点或者执行某些特定的操作。然而,如果这些...
### 网站常见漏洞及解决办法 #### 远端WWW服务支持TRACE请求 **问题描述**:在HTTP协议中,TRACE方法允许客户端从服务器获取请求消息的副本,主要用于调试目的。然而,如果一个Web服务器支持TRACE请求且没有正确...
### 漏洞检测CVE-2017-7525分析与PoC解析 #### 一、漏洞概述 CVE-2017-7525是Apache Struts框架中的一个远程代码执行漏洞。该漏洞允许攻击者通过精心构造的恶意请求来执行远程代码。Apache Struts是一款开源的MVC...
2. **触发条件**:可能的触发条件包括但不限于未正确配置的虚拟主机(Host)或者应用基础(Appbase),使得非授权用户能够通过URL直接访问内部目录,而非通过正常的Web应用程序入口。 3. **利用方法**:攻击者可能...
- **PUT**:请求服务器存储一个资源,覆盖任何已存在的文件。 - **DELETE**:请求服务器删除Request-URI所标识的资源。 #### HTTP协议详解之响应篇 HTTP响应同样由三部分组成:状态行、消息报头、响应正文。 - **...
Apache Tomcat是一款开源的Java应用服务器,主要用于运行Java Servlet和JavaServer Pages(JSP)应用程序。这个最新的版本,"apache-tomcat-8.5.72-windows-x64.zip",是专为Windows 64位操作系统设计的。在这个版本...
1. 安全配置:限制对敏感目录的访问,防止目录遍历攻击,确保服务器软件及时更新以修复安全漏洞。 2. 日志管理:启用日志记录,以便分析服务器性能和追踪错误。 3. 负载均衡:通过负载均衡技术,如`mod_proxy_...
Apache Tomcat 8.0.28 是一个广泛使用的开源软件,它实现了Java Servlet和JavaServer Pages(JSP)规范,使得开发者能够构建和部署基于Java的Web应用程序。Tomcat作为一个轻量级应用服务器,主要处理HTTP协议,是...
虽然标签部分为空,但可以推测这个项目可能涉及到上述多个IT领域的技术知识点。文件名称“imagehost-main”可能是指该压缩包包含了该项目的主要代码或资源,比如源代码、数据库配置、部署脚本等。 在实际开发过程中...