检测到目标URL存在http host头攻击漏洞

今天在一台 CENTOS7 服务器上安装了宝塔面板，一切顺利正常。但是被绿盟扫描出来以下问题：

为了方便的获得网站域名，开发人员一般依赖于HTTP Host header。例如，在php里用_SERVER["HTTP_HOST"]。但是这个header是不可信赖的，如果应用程序没有对host header值进行处理，就有可能造成恶意代码的传入。

由于这个问题的存在，安全组不让我访问宝塔的后台（8888端口的后台），我也就无法安装环境和应用。对方给出的解决方案是：

web应用程序应该使用SERVER_NAME而不是hostheader。

在Apache和Nginx里可以通过设置一个虚拟机来记录所有的非法host header。在Nginx里还可以通过指定一个SERVER_NAME名单，Apache也可以通过指定一个SERVER_NAME名单并开启UseCanonicalName选项。


但是我不知道怎么修改？因为服务器上除了宝塔面板，尚未安装 apache和nginx等环境。
请问该如何处理，如果没办法处理，我只能改用 Oneinstack 了，之前一直用 OIS，朋友推荐用了宝塔，结果第一步就卡住了。
谢谢

难道没有人碰到嘛？

etwack 发表于 2018-12-9 17:27
难道没有人碰到嘛？

不知道你解决了吗