利用HTTPHostheader头攻击技术详解

一个有漏洞的JSP代码案例&＃xff1a;

使用HTTP代理工具&＃xff0c;如BurpSuite篡改HTTP报文头部中HOST字段时&＃xff0c;加红框中变量即客户端提交的HOST值&＃xff0c;该值可被注入恶意代码。因为需要控制客户端的输入&＃xff0c;故该漏洞较难利用。

一、密码重置污染攻击

拿 Gallery 这个站来做例子。当我们进行密码重置的时候&＃xff0c;网站会给我们发送一个随机的key&＃xff1a;

$user -> hash &＃61; random::hash() ;
$message -> confirm_url &＃61; url::abs_site("password/do_reset?key&＃61;$user->hash") ;


当用户点击重置密码的链接时&＃xff0c;肯定可以说明点的是自己的账户。

这个地方的漏洞是&＃xff1a; url::abs_site 这一部分使用的Host header是来自用户重置密码的请求&＃xff0c;那么攻击者可以通过一个受他控制的链接来污染密码重置的邮件。

POST /password/reset HTTP/1.1
> Host: evil.com
> ...
> csrf&＃61;1e8d5c9bceb16667b1b330cc5fd48663&name&＃61;admin


这个漏洞在Django&＃xff0c;Piwik 和Joomla中都存在&＃xff0c;还有一些其他的应用&＃xff0c;框架和类库。

当然这种攻击方式一定要能骗取用户点击访问这个受污染的链接&＃xff0c;如果用户警觉了没有点击&＃xff0c;那么攻击就会失败。当然你自己也可以配合一些社会工程学的方法来保证攻击的成功率。

还有一些情况&＃xff0c;Host可能会被url编码后直接放到email的header里面造成header注入。通过这个&＃xff0c;攻击者可以很容易的就能劫持用户的账户。

二、缓存污染

通过Host header来污染缓存的攻击方法最初是Carlos Beuno 在2008年提出来的。但是在现在的网络架构中&＃xff0c;这种攻击还是比较困难的&＃xff0c;因为现在的缓存设备都能够识别Host。比如对于下面的这两种情况他们绝对不会弄混淆&＃xff1a;

GET /index.html HTTP/1.1 > GET /index.html HTTP/1.1
> Host: example.com > Host: evil.com


因此为了能使缓存能将污染后的response返回给用户&＃xff0c;我们还必须让缓存服务器看到的host header 和应用看到的host header 不一样。

比如说对于Varnish&＃xff08;一个很有名的缓存服务软件&＃xff09;&＃xff0c;可以使用一个复制的Host header。Varnish是通过最先到达的请求的host header来辨别host的&＃xff0c;而Apache则是看所有请求的host&＃xff0c;Nginx则只是看最后一个请求的host。这就意味着你可以通过下面这个请求 来欺骗Varnish达到污染的目的&＃xff1a;

> GET / HTTP/1.1
> Host: example.com
> Host: evil.com


应用本身的缓存也可能受到污染。比如Joomla就将取得的host值不经html编码便写进任意页面&＃xff0c;而它的缓存则对这些没有任何处理。比如可以通过下面的请求来写入一个存储型的xss&＃xff1a;

curl -H "Host: cow\"onerror&＃61;\&＃39;alert(1)\&＃39;rel&＃61;\&＃39;stylesheet\&＃39;" http://example.com/ | fgrep cow\"


实际上的请求是这样的&＃xff1a;

> GET / HTTP/1.1
> Host: cow"onerror&＃61;\&＃39;alert(1)\&＃39;rel&＃61;\&＃39;stylesheet\&＃39;


响应其实已经受到污染&＃xff1a;

这时只需要浏览首页看是否有弹窗就知道缓存是否已经被污染了。

不要使用类似JSP中request.getServerName( )方法引用客户端输入的hostname值。拼接生成URL时引用静态变量定义的服务器域名&＃xff0c;或者使用相对路径生成URL。

安全的配置&＃xff1a;
1、服务器方面需要做的

由于http请求的特点&＃xff0c;host header的值其实是不可信的。唯一可信的只有SERVER_NAME&＃xff0c;这个在Apache和Nginx里可以通过设置一个虚拟机来记录所有的非法host header。在Nginx里还可以通过指定一个SERVER_NAME名单&＃xff0c;Apache也可以通过指定一个SERVER_NAME名单并开启UseCanonicalName选项。建议两种方法同时使用。

2、应用本身需要做的

解决这个问题其实是很困难的&＃xff0c;因为没有完全自动化的方法来帮助站长识别哪些host的值是值得信任的。虽然做起来有点麻烦&＃xff0c;但是最安全的做法是&＃xff1a;效仿Django的方法&＃xff0c;在网站安装和初始化的时候&＃xff0c;要求管理员提供一个可信任的域名白名单。如果这个实现起来比较困难&＃xff0c;那至少也要保证使用SERVER_NAME而不是host header&＃xff0c;并且鼓励用户使用安全配置做的比较好的站点。

一切的用户输入&＃xff08;用户可控变量&＃xff09;都是不可信的&＃xff0c;故减少用户可控参数、对用户输入进行校验是处理这类安全漏洞的思路。