【待反馈】安全扫描出现host漏洞,如何修复?,是宝塔面...
为了能快速了解并处理您的问题,请提供以下基础信息:面板、插件版本:linux 正式版11.5.0系统版本:UOS Server 20 (kongzi) x86_64(Py3.7.16)
问题描述:安全扫描出现host漏洞,如何修复?
相关截图(日志、错误):
1.1.1Host header attack
漏洞等级中危漏洞类型Host header attack
漏洞信息
漏洞危害攻击者通过截取数据包,篡改host等字段为恶意域名,服务端未进行检查直接获取利用后,可能导致植入恶意链接、密码钓鱼、跨站脚本等攻击。
漏洞描述host头攻击(host header attack)的定义就是篡改Request请求中的host字段来对任意启用未经校验直接调用该字段取值的功能函数。其实从根本性质上讲,host头攻击应该归属于http域变量注射类的攻击。
解决方案1、对header中包含域名的键做同源策略的限制。 2、制定域名白名单进行检查。 3、将$_SERVER["HTTP_HOST"]等变量写死为实际应用系统的域名 4、进行html实体编码
这个是第三方扫描出的结果吧,可以按他们的标准和解决方案进行修改
页:
[1]