WEB漏洞-HTTP host头攻击
WEB漏洞-HTTP host头攻击
利用burpsuite,拦截报表中的请求,修改host头 。
查看攻击是否成功。
如果成功,就需要后台写个方法,对此HttpContext.Current进行约束,即对输入的host加以特定的限制。
再次扫描,安全通过。
如果遇到nignx转tomcat的情况,需要在nignx的配置信息中进行设置,添加如下两行代码:
proxy_http_version 1.1;proxy_set_header Connection "";
具体内容请查看来源地址:https://zhuanlan.zhihu.com/p/37464758
添加后,扫描通过。