目标URL存在http host头攻击漏洞

拼搏现实的明天。 2022-05-25 11:54 214阅读 0赞

package com.wx.filter;
    
    import com.wx.util.ConfKit;
    import org.apache.log4j.Logger;
    
    import javax.servlet.*;
    import javax.servlet.annotation.WebFilter;
    import javax.servlet.http.HttpServletRequest;
    import javax.servlet.http.HttpServletResponse;
    import java.io.IOException;
    
    /**
     * Created by 123 on 2018-05-14
     */
    @WebFilter(filterName = "HostFilter")
    public class HostFilter implements Filter {
        public static Logger logger = Logger.getLogger(HostFilter.class);
        public void destroy() {
        }
    
        public void doFilter(ServletRequest req, ServletResponse resp, FilterChain chain) throws ServletException, IOException {
            HttpServletRequest request = (HttpServletRequest) req;
            HttpServletResponse response = (HttpServletResponse) resp;
    
            // 头攻击检测
            String requestHost = request.getHeader("host");
            logger.info("requestHost:"+requestHost);
            if (requestHost != null && ConfKit.getProps("okHost").indexOf(requestHost)==-1) {
                response.setStatus(403);
                return;
            }
            chain.doFilter(req, resp);
        }
    
        public void init(FilterConfig config) throws ServletException {
    
        }
    
    }

其中okHost为允许的host头，在测试环境下为：localhost:8080

转自：[https://blog.csdn.net/ahuyangdong/article/details/79091699][https_blog.csdn.net_ahuyangdong_article_details_79091699]

[https_blog.csdn.net_ahuyangdong_article_details_79091699]: https://blog.csdn.net/ahuyangdong/article/details/79091699

发表评论取消回复

表情：

评论列表（有 0 条评论，214人围观）

还没有评论，来说两句吧...

相关阅读

相关 host头攻击漏洞修复

host头攻击漏洞描述：为了方便的获得网站域名，开发人员一般依赖于HTTP Host header。例如，在php里用\_SERVER\[“HTTP\_HOST”\]。但是这

待我称王封你为后i/ 2023年09月23日 15:20/ 0 赞/ 144 阅读

相关【软件上线常见漏洞】检测到目标URL存在http host头攻击漏洞

> 程序猿学社的GitHub，欢迎Star > [github技术专题][github] > 本文已记录到github 文章目录前言解决思路

淩亂°似流年/ 2023年03月01日 10:24/ 0 赞/ 1 阅读

相关缓慢的HTTP拒绝服务攻击漏洞

漏洞介绍缓慢的HTTP拒绝服务攻击是一种专门针对于Web的应用层拒绝服务攻击，攻击者操纵网络上的肉鸡，对目标Web服务器进行海量HTTP请求攻击，直到服务器带宽被

电玩女神/ 2022年11月03日 04:23/ 0 赞/ 568 阅读

相关 web漏洞之Host头攻击

Host头攻击漏洞描述 Web应用程序获取网站域名一般是依赖HTTP Host header（比如在JSP里通过request.getHeader()获取）

谁践踏了优雅/ 2022年10月28日 10:06/ 0 赞/ 697 阅读

相关绿盟检测到目标URL存在http host头攻击漏洞

绿盟安全扫描中遇到一个很棘手的问题，检测到目标URL存在http host头攻击漏洞，是头文件攻击。 ![Center][] 利用burpsuite,拦截报表中的请求，修改

逃离我推掉我的手/ 2022年06月04日 07:22/ 0 赞/ 679 阅读

相关目标URL存在http host头攻击漏洞

package com.wx.filter; import com.wx.util.ConfKit; import org.apache.lo

拼搏现实的明天。/ 2022年05月25日 11:54/ 0 赞/ 215 阅读

相关 HTTP host头攻击的技术

原文地址：[https://blog.csdn.net/u012903926/article/details/81702224][https_blog.csdn.net_u01

超、凢脫俗/ 2022年05月16日 05:36/ 0 赞/ 346 阅读

相关 HTTP 协议 Host 请求头的作用

`Host` 是 HTTP 1.1 协议中新增的一个请求头，主要用来实现虚拟主机技术。虚拟主机（virtual hosting）即共享主机（shared web hosti

比眉伴天荒/ 2022年05月09日 21:03/ 0 赞/ 270 阅读

相关目标URL存在http host头攻击漏洞的修复与验证

不要使用request中的serverName，也就是说host header可能会在攻击时被篡改，依赖request的方法是不可靠的，形如JSP头部中的： String p

朱雀/ 2022年02月01日 10:45/ 0 赞/ 1044 阅读

相关目标URL存在http host的头攻击漏洞，解决方案和验证

绿盟对上线项目进行扫描，目标URL存在http host的头攻击漏洞，解决方案和验证 2018年05月24日 13:33:12 [John\_mountain][John

ゝ一纸荒年。/ 2021年10月13日 21:12/ 0 赞/ 2869 阅读