URL存在http host头攻击漏洞-修复方案

【基于tocmat的修复方案】

经测试，最低支持Tomcat6.0.x以上版本的修复。

修复方式

打开tomcat的conf目录中的server.xml文件，将Host节点做如下配置：

<Host name="www.baidu.com"  appBase="webapps"
unpackWARs="true" autoDeploy="true"
xmlValidation="false" xmlNamespaceAware="false"><!--本机对外域名-->
<Alias>10.1.8.158</Alias><!--本机所支持的所有IP-->
<Valve className="org.apache.catalina.valves.AccessLogValve" directory="logs"
prefix="localhost_access_log." suffix=".txt"  resolveHosts="false"
pattern="%a %A %b %B %h %H %l %m %p %s %S %t %u %U %v %D %T" />
</Host>

【基于Filter的修复方案】
修复方式

在工程的web.xml中配置下面代码中的拦截器，注意该拦截器一定要放在第一个执行。

最低支持Tomcat7.0.x以上版本的修复

范例代码

import javax.servlet.*;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;

/**
* @author Shmily
* @date 2018/1/2 11:09
*/
public class HostCleanFilter implements Filter {
/**
* 自定义实现host白名单添加
* @param filterConfig
* @throws ServletException
*/
@Override
public void init(FilterConfig filterConfig) throws ServletException {

}

@Override
public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
HttpServletRequest request = (HttpServletRequest)servletRequest;
HttpServletResponse response = (HttpServletResponse) servletResponse;
String host=request.getHeader("Host");
System.out.println("Host-debug:"+host);
if(!isEmpty(host)){
if(checkBlankList(host)){
filterChain.doFilter(servletRequest,servletResponse);
}else{
System.out.println("[host deny access tips]->"+host);
response.getWriter().print("host deny");
response.flushBuffer();
}
}else{
filterChain.doFilter(servletRequest,servletResponse);
}

}

@Override
public void destroy() {

}

/**
* 校验当前host是否在白名单中
* @param host
* @return
*/
private boolean checkBlankList(String host){
if(host.contains(".baidu.cn")host.contains("10.19.1.")){
return true;
}
return false;
}
public  boolean isEmpty(Object str) {
return str == null || "".equals(str);
}

}