本篇文章為大家展示了Java HTTP Host 頭攻擊原理以及如何防御，內(nèi)容簡(jiǎn)明扼要并且容易理解，絕對(duì)能使你眼前一亮，通過(guò)這篇文章的詳細(xì)介紹希望你能有所收獲。

創(chuàng)新互聯(lián)云計(jì)算的互聯(lián)網(wǎng)服務(wù)提供商,擁有超過(guò)13年的服務(wù)器租用、BGP機(jī)房服務(wù)器托管、云服務(wù)器、網(wǎng)站空間、網(wǎng)站系統(tǒng)開發(fā)經(jīng)驗(yàn)，已先后獲得國(guó)家工業(yè)和信息化部頒發(fā)的互聯(lián)網(wǎng)數(shù)據(jù)中心業(yè)務(wù)許可證。專業(yè)提供云主機(jī)、網(wǎng)站空間、申請(qǐng)域名、VPS主機(jī)、云服務(wù)器、香港云服務(wù)器、免備案服務(wù)器等。

對(duì)于 Java 程序員來(lái)說(shuō)，一個(gè)服務(wù)器上跑多個(gè)程序是非常常見的現(xiàn)象。

但是這樣做后會(huì)有一個(gè)問(wèn)題，那就是容易造成 Host 頭攻擊。這也是之前微信群里一個(gè)網(wǎng)友遇到的問(wèn)題。今天我在這里給大家扯一扯。

host 頭(host header或稱主機(jī)頭)攻擊，非常常見。比如，在 jsp 中，我們通?？赡艽嬖陬愃葡旅娴拇a。

上面的幾種加載路徑，背后都是通過(guò) host 取得 url 地址，再拼接上固定的內(nèi)容。

這個(gè)時(shí)候，假如我把你的 host 頭給改掉了，比如改成我的 www.xttblog.com。然后這時(shí)你在加載的 js 文件，可能就來(lái)源于我的網(wǎng)站中已做好陷阱的 js 文件了。

這樣，黑客就能拿到你的 cookie、用戶名、密碼等關(guān)鍵數(shù)據(jù)。這就是著名的 host 頭攻擊。

更有甚者，在你的網(wǎng)站上放入病毒，挖礦等代碼。而你還不知道你被利用了。

那么該怎么解決這類問(wèn)題呢？很簡(jiǎn)單，下面我們以 Nginx 為例，只需要修改一下配置文件即可。Apache 我就不舉例了。

添加一個(gè)默認(rèn) server，當(dāng) host 頭被修改匹配不到 server 時(shí)會(huì)跳到該默認(rèn) server，該默認(rèn) server 直接返回 403 錯(cuò)誤。

重啟 nginx 即可。

除了這種做法，也可以在目標(biāo) server 添加檢測(cè)規(guī)則。比如下面的 if 判斷配置。

另外，在 Tomcat 的配置文件，我們也可以直接配置 Host 的 name 為具體的 ip 地址，不要配置 localhost。

說(shuō)白了，這個(gè)漏洞是因?yàn)槟闶褂昧?Host 而沒(méi)驗(yàn)證它。

目前，綠盟、burpsuite、360 等工具都可以對(duì)這一漏洞進(jìn)行檢測(cè)！

上述內(nèi)容就是Java HTTP Host 頭攻擊原理以及如何防御，你們學(xué)到知識(shí)或技能了嗎？如果還想學(xué)到更多技能或者豐富自己的知識(shí)儲(chǔ)備，歡迎關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道。

網(wǎng)站標(biāo)題：JavaHTTPHost頭攻擊原理以及如何防御
文章位置：http://jinyejixie.com/article20/pgiijo.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供外貿(mào)網(wǎng)站建設(shè)、移動(dòng)網(wǎng)站建設(shè)、營(yíng)銷型網(wǎng)站建設(shè)、企業(yè)建站、定制網(wǎng)站、外貿(mào)建站

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)