HTTP请求Host注入
Host头注入
危害:钓鱼
将host更改为www.baidu.com后,放行请求,发现去其他服务器进行请求。
其问题主要原因是安全配置错误,导致生成的链接地址不是正确的地址,而攻击者设定的地址,从而使用户访问了恶意网站。
如果我们使用nginx中间件,则可以在nginx配置文件(nginx.conf)中,加入判断
加入内容如下:
set $flag "";
if ($http_Host != '192.168.1.32:8087')
{
set $flag "1";
}
if ($http_Host != '160.27.46.85:8087')
{
set $flag "${flag}1";
}
if ($flag = "11") {
return 403;
}上述代码的意思是,如果请求的host不是这两个地址发来的,