一般而言�,幾個網(wǎng)站以共享的方式宿駐在同一臺web服務器之上��,或者幾個web應用程序共享同一個IP地址���,這都是業(yè)界一些非常通用的做法���。當然����,這也就是host頭(host header或稱主機頭)的存在原因��。host頭指定了應該由哪個網(wǎng)站或是web應用程序來處理一個傳入的HTTP請求��。web服務器使用該頭部的值來將請求分派到指定的網(wǎng)站或web應用程序之上����。宿駐在同一IP地址上的每個web應用程序通常被稱為虛擬主機。那么針對host頭的攻擊是由什么所組成的呢?
創(chuàng)新互聯(lián)建站網(wǎng)站建設(shè)提供從項目策劃�����、軟件開發(fā)���,軟件安全維護���、網(wǎng)站優(yōu)化(SEO)、網(wǎng)站分析���、效果評估等整套的建站服務���,主營業(yè)務為成都做網(wǎng)站、網(wǎng)站建設(shè)����,手機APP定制開發(fā)以傳統(tǒng)方式定制建設(shè)網(wǎng)站,并提供域名空間備案等一條龍服務����,秉承以專業(yè)、用心的態(tài)度為用戶提供真誠的服務���。創(chuàng)新互聯(lián)建站深信只要達到每一位用戶的要求���,就會得到認可,從而選擇與我們長期合作���。這樣�����,我們也可以走得更遠����!
我們來看看如果指定的是一個無效的host頭會發(fā)生什么?大多數(shù)web服務器被配置為將無法識別的host頭傳送到列表中的第一臺虛擬主機之上。因此���,這使得把攜帶有任意host頭的請求發(fā)送到第一臺虛擬主機上是完全可能的�����。
另一種傳送任意host頭的方法是使用X-Forwarded-Host頭�。在某些配置中���,這個頭會被主機頭的值所重寫��。因此很可能會產(chǎn)生如下的請求�����。
GET / HTTP/1.1 Host: www.example.com X-Forwarded-Host: www.attacker.com
許多web應用程序都依賴于HTTP的host頭來解讀出“他們在何處”�����?����?刹恍业氖?,許多應用程序開發(fā)人員沒有意識到HTTP的host頭是由用戶所控制的。正如你可能已經(jīng)知道的那樣���,在應用程序的安全理念中,用戶的輸入應該總是被認為不安全的���。因此��,在未被正確地得到事先驗證之前���,請永遠不要去信任它們。
雖然在PHP web應用程序中���,對于host頭的使用是非常普遍的;但是����,這實際上并非是PHP web應用程序所獨有問題����。下面示例中的PHP腳本是一個典型的、危險的host頭的用例����。
攻擊者通過操縱host頭��,可以操控上面的代碼來產(chǎn)生下面這種HTML類型的輸出����。
-
一般有兩種主要的host頭攻擊的方法:包括使網(wǎng)頁緩存“帶毒”��,和利用替代渠道來對敏感的操作進行濫用��,例如進行密碼重置��。
網(wǎng)頁緩存的中毒
網(wǎng)頁緩存的中毒是指攻擊者使用該技術(shù)來操控網(wǎng)頁緩存���,并向任何請求頁面的人提供帶毒的內(nèi)容�。
對于這種情況的發(fā)生����,攻擊者需要使一臺緩存代理中毒,而該緩存可以運作在網(wǎng)站本身�、或是下游供應商、內(nèi)容分發(fā)網(wǎng)絡(luò)(CDNs)��、連鎖合作商或是其他客戶機和服務器之間的緩存機制中����。該緩存隨后將帶毒的內(nèi)容提供給任何請求它的人�,而受害者面對這些所提供的惡意內(nèi)容�����,無論如何都是沒有控制權(quán)的�����。
下面的例子就是攻擊者如何通過網(wǎng)頁緩存中毒的方式����,從而進行host頭攻擊的����。
- $ telnet www.example.com 80
- Trying x.x.x.x...
- Connected to www.example.com.
- Escape character is '^]'.
- GET /index.html HTTP/1.1
- Host: attacker.com
- HTTP/1.1 200 OK
- ...
-
-
- Example
-
密碼重置的中毒
一種普遍的用來實現(xiàn)密碼重置功能的方法是:生成一個密鑰令牌,并且發(fā)送一封包含著該令牌的超級鏈接的電子郵件�。如果一個攻擊者請求一個帶有attacker-controlled的host頭類型的密碼重置,會發(fā)生什么呢?
如果在生成重置鏈接時�,該web應用程序使用到這個host頭的值,攻擊者就可以在密碼重置鏈接中“投毒”并發(fā)送到受害者那里���。而如果受害者點開了郵件中“帶毒”的重置鏈接���,那么攻擊者將能獲得密碼重置的令牌���,進而可以重置受害者的密碼了。
檢測密碼重置中毒的漏洞
我們將使用一個舊版本的Piwik(一個開源的web分析平臺)作為此類漏洞的實例���,因為它比較容易受到“帶毒”的host頭攻擊類型的密碼重置�����。
為了檢測到密碼重置的自動中毒�����,我們需要依靠一個中介服務����,因為對于“帶毒”的host頭攻擊類型的密碼重置的檢測����,需要一個帶外的且延時的向量。為了實現(xiàn)此目的��,Acunetix(網(wǎng)絡(luò)漏洞掃描軟件)在自動掃描過程中會使用AcuMonitor作為其中介服務。
而在掃描過程中�,Acunetix將查找密碼重置頁面并注入一個自定義的host頭,用以指向一個AcuMonitor的域���。如果漏洞存在的話����,那么有問題的應用程序(如本例中舊版本的Piwik)將使用該值來生成密碼重置的鏈接���,并以電子郵件的形式發(fā)送給相關(guān)的用戶�����。如下所示:
在上面的圖片中�����,請認真查看其重置鏈接的位置,它指向的是AcuMonitor的域���,而不是web應用程序的域��。
如果“受害者”(在這個例子中����,因為它采取的是自動掃描,受害者很可能是安全團隊中的一員�����,他接收電子郵件后開始進行掃描)��,點擊該鏈接��,AcuMonitor將捕獲該請求����,并會發(fā)回一個通知給Acunetix,指示它應該生成一個“帶毒”的host頭攻擊類型的密碼重置的警報��。
減緩
減緩和應對host頭的攻擊���,其實非常簡單——就是不要信任host頭�。然而在某些情況下����,卻是說起來容易做起來難(特別是涉及到遺留下來的舊代碼的時候)。如果你必須使用host頭作為一種識別web服務器位置的機制的話����,我強烈建議你使用包含有各個被允許的主機名的白名單來進行應對����。
新聞標題:Host頭攻擊技術(shù)解析及防御
轉(zhuǎn)載來于:
http://uogjgqi.cn/article/cdjhcsj.html
