问:nxhtjz.com 公安网安提示3.1.1.检测到目标URL存在http host头攻击漏洞,nxhtjz.com 公安网安提示3.1.1.检测到目标URL存在http host头攻击漏洞
答:您好,
请将具体的漏洞截图以及修复方案截图发送到工单我司核实一下,非常感谢您长期对我司的支持!
问:1.1.1. 检测到目标URL存在http host头攻击漏洞请求方式
GET
URL
http://www.nxhtjz.com/data/include/exectask.php?rand0.
问题参数
Host
参考(验证)
http://www.nxhtjz.com/data/include/exectask.php?rand0.HOST)www.wjgxul.com
详细描述
为了方便的获得网站域名,开发人员一般依赖于HTTP Host header。例如,在php里用_SERVER["HTTP_HOST"]。但是这个header是不可信赖的,如果应用程序没有对host header值进行处理,就有可能造成恶意代码的传入。
解决办法
web应用程序应该使用SERVER_NAME而不是host header。
在Apache和Nginx里可以通过设置一个虚拟机来记录所有的非法host header。在Nginx里还可以通过指定一个SERVER_NAME名单,Apache也可以通过指定一个SERVER_NAME名单并开启UseCanonicalName选项。
威胁分值
5
答:您好,
http://www.nxhtjz.com/data/include/exectask.php?rand0.HOST)www.wjgxul.com
当前验证的地址已经访问是404了,并不会访问到网站内容
并且访问此链接内容也是程序拦截了的
非常感谢您长期对我司的支持!
问:
公安局检测到的
答:您好,感谢您提供的信息。您的截图较模糊,建议您提供电子版,并发送到 ,以便我们分析核查,非常感谢您长期对我司的支持.由此给您带来的不便之处,敬请原谅!谢谢!
问:网安检测出具的网站安全检查检测报告里有:点击劫持:X-Frame-Options header 未配置(低危)的漏洞,这个漏洞是不是要在服务器上进行设置?
答:您好,已经为您参考https://www.jianshu.com/p/bd11d63f8720 进行了特殊设置,您可以再核实看看,非常感谢您长期对我司的支持!
问:ftp账号:lpxxweb1,前几天网站被挂马了,现在修复了,用百度网址安全平台检测还有问题,没提示具体什么问题,用360网站安全平台扫描后发现有“PHPSESSID已知会话确认攻击”的漏洞,需要设置PHP.INI文件,在PHP.INI文件中配置 session.use_only_cookies = 1,能否帮忙设置,谢谢
答:您好
我们所有虚拟主机实际上都是有这样设置的,这是360方面检测识别的问题,可以查看探针:http://www.ahjx168.com/tz.php 目前也为您在web.config中添加了如下代码做了进一步屏蔽,请您再试下,非常感谢您长期对我司的支持!
<?xml version="1.0"?>
<configuration>
<system.web>
<httpCookies httpOnlyCookies="true" />
</system.web>
</configuration>
