台灣最大程式設計社群網站
線上人數
1307
 
會員總數:245151
討論主題:189055
歡迎您免費加入會員
討論區列表 >> ASP.NET >> 關於弱點Host header attack
[]  
[我要回覆]
1
回應主題 加入我的關注話題 檢舉此篇討論 將提問者加入個人黑名單
關於弱點Host header attack
價值 : 500 QP  點閱數:826 回應數:3

樓主

Yvonne
初學者
661 71
1518 247
發送站內信

單位掃出此弱點,我參考以下網址文章做了設定,但還是無法通過此弱點測試
想請問各位先進是否有方法可以教授?

IIS 繫結綁定SERVER NAME(URL)
https://security.stackexchange.com/questions/54572/iis-host-header-attacks
https://blog.miniasp.com/post/2010/02/10/The-SetHostName-and-alternateHostName-in-IIS6-IIS7
https://heh3.github.io/windows/2017/08/01/e4-bb-8ehttp-e5-93-8d-e5-ba-94-e4-b8-ad-e5-88-a0-e9-99-a4iis-e6-9c-8d-e5-8a-a1-e5-99-a8-e7-9a-84ip-e5-9c-b0-e5-9d-80.html
------------
單位掃描圖1


單位掃描圖2


我主機設定
[img]https://imagizer.imageshack.com/img923/1656/VDiEeS.png[img]

[img]https://imagizer.imageshack.com/img922/631/FuF5OM.jpg[img]

[img]https://imagizer.imageshack.com/img923/849/36IQGZ.jpg[img]

搜尋相關Tags的文章: [ 弱點 ] , [ Host header attack ] ,
本篇文章發表於2019-08-27 14:51
別忘捐VP感謝幫助你的人 新手會員瞧一瞧
1樓
作者回應

Yvonne
檢舉此回應
我主機設定



本篇文章回覆於2019-08-27 14:53
== 簽名檔 ==
--未登入的會員無法查看對方簽名檔--
2樓
最有價值解答

Simon(竹心 )
捐贈 VP 給 Simon(竹心 ) 檢舉此回應
這漏洞,在下淺見,應該是利用 Request.ServerVariables["HTTP_HOST"] = "domain.com"
Or <a href="<%=Request.ServerVariables["HTTP_HOST"]%>/index.aspx">首頁</a> 的缺陷,
讓網頁程式的判斷失了準確,導致被攻擊。

1. 建議這種 Base URL 的參數,記載在 web.config,並將此參數以字串組合的方式組合出網址。
2. 關於結帳等重要功能,建議會員必須登入驗證後,利用 Session 驗證身分,以策安全。

如此,應該就可以避過此漏洞,在下淺見,希望能幫到您,祝您好運。
本篇文章回覆於2019-11-11 22:52
== 簽名檔 ==
--未登入的會員無法查看對方簽名檔--
3樓
作者回應

Yvonne
檢舉此回應
如Simon大所言,我的確是犯了這個低級錯誤!
先前找了同業朋友一起討論後,終於有解決了這個問題∼
我選擇了用程式轉https,結果使用了Request.Url來取得網址,才造成了此弱點,後來我改裝UrlRewite來轉https就解決了
感謝Simon大回覆:)
本篇文章回覆於2019-11-19 13:30
== 簽名檔 ==
--未登入的會員無法查看對方簽名檔--
   
1

回覆
如要回應,請先登入.