URL存在http host头攻击漏洞-修复方案
2018-02-01 18:52
1071 查看
【基于tocmat的修复方案】
经测试,最低支持Tomcat6.0.x以上版本的修复。
修复方式
打开tomcat的conf目录中的server.xml文件,将Host节点做如下配置:
【基于Filter的修复方案】
修复方式
在工程的web.xml中配置下面代码中的拦截器,注意该拦截器一定要放在第一个执行。
最低支持Tomcat7.0.x以上版本的修复
范例代码
经测试,最低支持Tomcat6.0.x以上版本的修复。
修复方式
打开tomcat的conf目录中的server.xml文件,将Host节点做如下配置:
<Host name="www.baidu.com" appBase="webapps" unpackWARs="true" autoDeploy="true" xmlValidation="false" xmlNamespaceAware="false"><!--本机对外域名--> <Alias>10.1.8.158</Alias><!--本机所支持的所有IP--> <Valve className="org.apache.catalina.valves.AccessLogValve" directory="logs" prefix="localhost_access_log." suffix=".txt" resolveHosts="false" pattern="%a %A %b %B %h %H %l %m %p %s %S %t %u %U %v %D %T" /> </Host>
【基于Filter的修复方案】
修复方式
在工程的web.xml中配置下面代码中的拦截器,注意该拦截器一定要放在第一个执行。
最低支持Tomcat7.0.x以上版本的修复
范例代码
import javax.servlet.*; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; import java.io.IOException; /** * @author Shmily * @date 2018/1/2 11:09 */ public class HostCleanFilter implements Filter { /** * 自定义实现host白名单添加 * @param filterConfig * @throws ServletException */ @Override public void init(FilterConfig filterConfig) throws ServletException { } @Override public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException { HttpServletRequest request = (HttpServletRequest)servletRequest; HttpServletResponse response = (HttpServletResponse) servletResponse; String host=request.getHeader("Host"); System.out.println("Host-debug:"+host); if(!isEmpty(host)){ if(checkBlankList(host)){ filterChain.doFilter(servletRequest,servletResponse); }else{ System.out.println("[host deny access tips]->"+host); response.getWriter().print("host deny"); response.flushBuffer(); } }else{ filterChain.doFilter(servletRequest,servletResponse); } } @Override public void destroy() { } /** * 校验当前host是否在白名单中 * @param host * @return */ private boolean checkBlankList(String host){ if(host.contains(".baidu.cn")host.contains("10.19.1.")){ return true; } return false; } public boolean isEmpty(Object str) { return str == null || "".equals(str); } }
相关文章推荐
- 目标URL存在跨站漏洞和目标URL存在http host头攻击漏洞处理方案
- 目标URL存在http host头攻击漏洞tomcat修复方法
- Web漏洞处理--http host头攻击漏洞处理方案/检测到目标URL存在宽字节跨站漏洞/ 检测到目标URL存在SQL注入漏洞
- 目标URL存在跨站漏洞和目标URL存在http host头攻击漏洞处理方案
- Java Web项目漏洞: 检测到目标URL存在http host头攻击漏洞解决办法
- Java Web项目漏洞:检测到目标URL存在http host头攻击漏洞解决办法
- 检测到目标URL存在http host头攻击漏洞
- 检测到目标URL存在http host头攻击漏洞
- java 漏洞处理--http host头攻击漏洞处理方案
- python3基础学习(http host头攻击漏洞POC)
- httpoxy 漏洞预警及修复方案
- Linux Bash严重漏洞最终修复方案
- 利用HTTP host头攻击的技术
- 错误:为 Web 项目“XXX”配置的 URL“http://localhost/”的网站同时存在于本地 IIS Web 服务器和 IIS Express Web 服务器上。您需要使用 IIS 管理器在 IIS 中更改此网站的绑定。
- 黑客攻击方式之水坑攻击和URL跳转漏洞
- PHP中获取当前页面的完整URL & php $_SERVER中的SERVER_NAME 和HTTP_HOST的区别
- Firefox最新版本存在内存溢出漏洞或被攻击的可能性
- 使用Nginx代理,HttpContext.Current.Request.Url.Host.ToString()获取地址是原地址的问题。
- HttpUrlConnection底层实现和关于java host绑定ip即时生效的设置及分析
- HttpURLConnection的post请求,什么时候发出,writeData存在什么地方