日期:2018-03-06 14:32:51
作者:Bay0net
0x01、 前言
在一般情况下,几个网站可能会放在同一个服务器上,或者几个 web 系统共享一个服务器,host 头来指定应该由哪个网站或者 web 系统来处理用户的请求。
0x02、密码重置漏洞
#!php
$user -> hash = random::hash() ;
$message -> confirm_url = url::abs_site("password/do_reset?key=$user->hash") ;
漏洞存在于 url::abs_site
这一部分使用的Host header是来自用户重置密码的请求,攻击者可以这么来攻击
- 攻击者向服务器发送一个带有 attacker-controlled 的 host 头类型的密码重置
- 服务器在生成密码重置的 key 时,会把攻击者操控的 host 也放到密码重置链接中。
- 用户如果点击了密码重置链接,那么攻击者就能得到密码重置的 key,从而重置用户密码。
0x03、缓存污染
Varnish 是通过最先到达的请求的host header来辨别host的,
Apache 是看所有请求的host,
Nginx 只是看最后一个请求的host。
攻击方法
GET / HTTP/1.1
Host: example.com
Host: alert(xss)
可以用上面这种方法,来欺骗 Varnish ,达到污染的目的。
攻击者提交上面的请求之后,缓存服务器会把数据放到缓存中,有人再访问 example.com 时,服务器会把 alert(xss) 也返回给用户。
0x04、修复方案
在服务器端判断 host 的值,设置白名单,不在白名单内的直接403