檢測(cè)到目標(biāo)URL存在http host頭攻擊漏洞(中風(fēng)險(xiǎn))

前言:

想找漏洞驗(yàn)證的文章,有的寫了,有的沒有

漏洞驗(yàn)證:有漏洞是什么現(xiàn)象,怎么判斷

修改請(qǐng)求頭host信息,若修改后和修改前的響應(yīng)信息一致,則說明存在此漏洞;
https://blog.csdn.net/weixin_43922510/article/details/99657007
https://blog.csdn.net/Orangesir/article/details/84999847?spm=1001.2101.3001.6650.3&utm_medium=distribute.pc_relevant.none-task-blog-2%7Edefault%7ECTRLIST%7Edefault-3.highlightwordscore&depth_1-utm_source=distribute.pc_relevant.none-task-blog-2%7Edefault%7ECTRLIST%7Edefault-3.highlightwordscore

利用HTTP host頭攻擊的技術(shù),可以干什么

https://www.cnblogs.com/ios9/p/7691540.html#_label2
get奇怪姿勢(shì):利用telnet觀察http協(xié)議的通訊過程(同:curl工具)
https://blog.csdn.net/qq_42249896/article/details/89406689
步驟:
打開cmd命令行輸入:telnet www.baidu.com 80
進(jìn)入該頁面后使用快捷鍵Ctrl+]:(同理:set localecho)
進(jìn)入該頁面后摁一次空格鍵后進(jìn)入回顯模式:
接著輸入http請(qǐng)求頭和host即可向百度發(fā)起http請(qǐng)求:
GET /index.asp HTTP/1.0 //請(qǐng)求資源的內(nèi)容
Host:www.guet.edu.cn

修復(fù)方案,挺詳細(xì)的,各個(gè)中間件,不同方法修復(fù)

https://www.freesion.com/article/18441013466/

擴(kuò)展:

curl 命令詳解
http://www.itdecent.cn/p/07c4dddae43a
常用:
curl http: //mydomain.net
curl http://www.yahoo.com/login.cgi?user=nickname&password=12345
curl -d "user=nickname&password=12345" http://www.yahoo.com/login.cgi
curl http://mydomain.net > index.html

?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請(qǐng)聯(lián)系作者
【社區(qū)內(nèi)容提示】社區(qū)部分內(nèi)容疑似由AI輔助生成,瀏覽時(shí)請(qǐng)結(jié)合常識(shí)與多方信息審慎甄別。
平臺(tái)聲明:文章內(nèi)容(如有圖片或視頻亦包括在內(nèi))由作者上傳并發(fā)布,文章內(nèi)容僅代表作者本人觀點(diǎn),簡(jiǎn)書系信息發(fā)布平臺(tái),僅提供信息存儲(chǔ)服務(wù)。

相關(guān)閱讀更多精彩內(nèi)容

友情鏈接更多精彩內(nèi)容