Java Web项目漏洞:检测到目标URL存在http host头攻击漏洞解决办法
2020-05-04 12:16
2646 查看
背景
项目上线之后使用绿盟或Acunetix安全扫描工具扫描后发现了头攻击漏洞。截图如下:
漏洞提示
检测工具在检测出漏洞后给予的提示为:
大意为不要使用request中的serverName,也就是说host header可能会在攻击时被篡改,依赖request的方法是不可靠的,形如JSP头部中的:
String path = request.getContextPath(); String basePath = request.getScheme()+"://"+request.getServerName()+":"+request.getServerPort()+path+"/";
这样的使用方法就会被漏洞检测工具查出来,认定有头攻击漏洞。
解决办法
提示中说,如果是php的话不要用SERVER_NAME,apache和Nginx通过设置虚拟机来纪要非法header,而web开发中常见的运行容器就是tomcat,网络查找出的解决方案大多不适用,最后,我们找到了一个折中的办法。
主要解决办法,就是在请求拦截上面做host合法性校验,拦截掉非法请求。
public class SessionFilter implements Filter {
public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException,
ServletException {
HttpServletRequest request = (HttpServletRequest) req;
HttpServletResponse response = (HttpServletResponse) res;
// 头攻击检测
String requestHost = request.getHeader("host");
if (requestHost != null && !ServerWhiteListUtil.isWhite(requestHost)) {
response.setStatus(403);
return;
}
...
}
}
上述代码是常见的web系统拦截器doFilter方法,我们在方法开始的地方做host判定,如果不在白名单内,则返回403状态码。漏洞工具收到403后认为访问请求已被终止,就不会报错了。
其中,ServerWhiteListUtil.isWhite(requestHost))方法:
package ...;
import java.io.InputStreamReader;
import java.util.List;
import com.google.gson.Gson;
import com.google.gson.reflect.TypeToken;
/**
* 服务器白名单列表
*/
public class ServerWhiteListUtil {
private static List<String> whiteList = null;;
static {
try {
// 读取白名单列表
whiteList = new Gson().fromJson(
new InputStreamReader(ServerWhiteListUtil.class.getResourceAsStream("/serverWhiteList.json")),
new TypeToken<List<String>>() {
}.getType());
} catch (Exception e) {
e.printStackTrace();
}
}
/**
* 判断当前host是否在白名单内
* @param host 待查host
* @return boolean 是否在白名单内
*/
public static boolean isWhite(String host) {
if (whiteList == null || whiteList.size() == 0) {
return true;
}
for (String str : whiteList) {
if (str != null && str.equals(host)) {
return true;
}
}
return false;
}
}
配置项serverWhiteList.json文件(放置在src根目录或resource配置目录,根据项目框架来定):
[ "www.aaa.com:78", "www.bbb.com:178" ]
转载于:https://my.oschina.net/pl123/blog/1809190
chunhui0415
原创文章 0获赞 0访问量 639
关注
私信
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- Java Web项目漏洞:检测到目标URL存在http host头攻击漏洞解决办法
- Java Web项目漏洞: 检测到目标URL存在http host头攻击漏洞解决办法
- 检测到目标URL存在http host头攻击漏洞
- 检测到目标URL存在http host头攻击漏洞
- 检测到目标URL存在http host头攻击漏洞
- 绿盟科技 web检测到目标URL存在http host头攻击漏洞
- Web漏洞处理--http host头攻击漏洞处理方案/检测到目标URL存在宽字节跨站漏洞/ 检测到目标URL存在SQL注入漏洞
- 目标URL存在跨站漏洞和目标URL存在http host头攻击漏洞处理方案
- 目标URL存在http host头攻击漏洞tomcat修复方法
- 目标URL存在跨站漏洞和目标URL存在http host头攻击漏洞处理方案
- URL存在http host头攻击漏洞-修复方案
- 检测到目标URL存在SQL注入漏洞
- java web开发常见漏洞攻击及解决办法
- XXx外网检测到目标URL存在基于DOM的跨站脚本漏洞
- Android HttpURLConnection.connect找不到源 HttpURLConnection连接失败 HttpURLConnection.connect IO异常 解决办法
- SVN检测的项目报错---解决办法
- 使用git从码云克隆项目时遇到The authenticity of host 'gitee.com (120.55.226.24)' can't be established. 问题时的解决办法
- java项目中导入org.Apache.http下面的包出错解决办法
- C#技巧【调用线程无法访问此对象,因为另一个线程拥有该对象的问题的解决办法】【C#读写EXCEL源码提示“office检测到此文件存在一个问题。为帮助保护您的计算机,不能打开此文件”的解决】
- XSS漏洞攻击原理与解决办法