Host Header Injection · Internet Mojster

4467811324

19. jun 2014 ob 09:01

Pozdravljeni, zopet sem si našel novo težavo. Tokrat gre za Host Header Injection. Nikjer nisem našel nobene rešitve. Vem, da gre za napade kot so naprimer:

<a href="<?=$_SERVER['HTTP_HOST']?>/login">Login</a>

Mogoče kdo ve, kako bi laho to rešil?

Hvala in lep pozdrav.

1428

programiranje http

jurij123

57267514810

19. jun 2014 ob 13:34

Zakaj bi host header sploh hotel vkljucit v prikaz stran?
Kot drugo ne vidim potencialne nevarnosti ce uporabljas host samo za izpis.

HeXeR

3268122225

19. jun 2014 ob 21:12

http://php.net/manual/en/reserved.variables.server.php

'HTTP_HOST'
Contents of the Host: header from the current request, if there is one.

http://www.skeletonscribe.net/2013/05/practical-http-host-header-attacks.html

Mogoče kdo ve, kako bi laho to rešil?

Če iščeš samo hiter popravek za že obstoječo rešitev potem pač preverjaš (pred izpisom vsebine strani) kaj je v $SERVER['HTTPHOST'].

2

blackmamba

5563892511

19. jun 2014 ob 22:57

Dober post. Ja, naredi whitelist kaj lahko Http_host vsebuje.

1

klopar

4467811324

22. jun 2014 ob 13:43

Hvala za pojasnila.

Host Header Injection

4 naročniki

4 odgovori

Host Header Injection 4 naročniki

4 odgovori

Host Header Injection

4 naročniki