安全02-后台JAVA增加Host校验防范HTTP主机头攻击-

最新推荐文章于 2024-05-20 11:55:46 发布
最新推荐文章于 2024-05-20 11:55:46 发布
阅读量4.6k 收藏
点赞数 1
CC 4.0 BY-SA版权
分类专栏: Java 安全 文章标签: java 安全漏洞 web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/windows_apple/article/details/121658902
本文探讨了HTTP Host标头的作用,其在HTTP/1.1中的强制性以及如何通过Java拦截器防止Host头攻击。通过实例说明,介绍了在实际开发中如何验证并保护官方域名,以确保网络通信安全。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

什么是 HTTP 主机标头?
从 HTTP/1.1 开始,HTTP Host 标头是强制性的请求标头。它指定客户端要访问的域名。例如,当用户访问 时https://xxx.com,他们的浏览器将编写一个包含 Host 标头的请求,如下所示:

GET /web-security HTTP/1.1
Host: xxx.com

HTTP Host 标头的目的是帮助识别客户端想要与之通信的后端组件。
HTTP Host 头攻击漏洞
使用HTTP代理工具,可以篡改HTTP报文头部中HOST字段时,该值可被注入恶意代码。因为需要控制客户端的输入,故该漏洞较难利用。

解决方案
在JAVA公共请求拦截器类中,新增对HOST头信息的校验,检查请求HOST头是否与官网域名一致,防止HOST头信息被恶意篡改利用。该方案与Referer校验方案类似。

//系统官网域名配置
String official_website="www.xxx.com";
String host= request.getHeader("Host");
if(!host.endsWith(official_website)) 
{
	OutputStream output = response.getOutputStream();
	output.write("请求数据非法".getBytes());
	output.flush();
	output.close();
	return null;
}
[车联网安全自学篇] Android安全之绕过直连、HOST校验、系统证书校验、代理检测、双向认证抓HTTPS数据
橙留香Park的博客
05-13 1436
如果是你客户端,你需要拿到服务器的证书,并放到你的信任库中如果是服务端,你要生成私钥和证书,并将这两个放到你的密钥库中,并且将证书发给所有客户端。如果你是客户端,你要生成客户端的私钥和证书,将它们放到密钥库中,并将证书发给服务端,同时,在信任库中导入服务端的证书如果你是服务端,除了在密钥库中保存服务器的私钥和证书,还要在信任库中导入客户端的证书。...
JAVA面试大全之开发基础篇
hao_kkkkk的专栏
03-29 390
全局上理解7层协议,4层,5层的对应关系。OSI依层次结构来划分:应用层(Application)、表示层(Presentation)、会话层(Session)、传输层(Transport)、网络层(Network)、数据链路层(Data Link)、物理层(Physical)
http host攻击漏洞校验Java过滤器实现
weixin_43992507的博客
10-17 1053
Java过滤器中 public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException { HttpServletRequest req=(HttpServletRequest) request; // http host攻击漏洞校验 HttpServletResponse res = (HttpServ
Java HTTP Host攻击原理以及如何防御
xmt1139057136的专栏
02-21 1万+
点击上方“业余草”,选择“置顶公众号” 第一时间获取技术干货和业界资讯! 很对微信群里的网友,我都称他们为老铁,从来不称兄道弟的,因为我觉得不真实。不向某东,说一套做一套。 其实你只要认真对待大家,大家都会看在心里,你们说是不是! 对于 Java 程序员来说,一个服务器上跑多个程序是非常常见的现象。 但是这样做后会有一个问题,那就是容易造成 Host攻击。这也是之前微信群里一个网...
Java Web项目漏洞:检测到目标URL存在http host攻击漏洞解决办法
热门推荐
海阔天空
01-18 5万+
背景 项目上线之后使用绿盟或Acunetix安全扫描工具扫描后发现了头攻击漏洞。截图如下: 漏洞提示 检测工具在检测出漏洞后给予的提示为: 大意为不要使用request中的serverName,也就是说host header可能会在攻击时被篡改,依赖request的方法是不可靠的,形如JSP头部中的: String path = request.getContextPath(
java http设置Host、Origin、referer等请求头
u014644574的博客
01-28 5044
java http设置Host、Origin等请求头
使用java代码方式解决XSS、Host Head漏洞问题
gmj53的专栏
08-04 1555
一、使用java代码方式解决XSS漏洞问题 1 ESAPI方式 1.1 引入jar包 compile('org.owasp.esapi:esapi:2.2.3.1') { exclude group: 'log4j', module: 'log4j' exclude group: 'org.slf4j', module: 'slf4j-simple' } 1.2 增加配置文件 1.2.1 ESAPI.properties配置文件内容 # 是否要打印配置属性,默认为true ESAPI.p
Javaweb)项目安全漏洞及解决方式【面试+工作】
Java帮帮
05-13 2万+
Javaweb)项目安全漏洞及解决方式【面试+工作】一.安全性问题层次关系大家经常会听到看到很多很多有关安全性方面的信息,可以说形形色色,对于在网络安全方面不太专业的同志来说,有点眼花缭乱,理不出头绪。在这里,我来帮大家整理一下。  以我个人多年来从事Web安全方面的工作经验及国外一些权威安全机构对Web安全的层次性的理解,我们通常把它分为三个层次:1.网络安全。如防火墙、路由器、网络结构等相关...
红队专题-漏洞挖掘-代码审计
aming小老弟
03-11 1234
其中 Web A 为存在 CSRF 漏洞的网站,Web B 为攻击者构建的恶意网站,User C 为 Web A 网站的合法用户。用户 C 打开浏览器,访问受信任网站 A,输入用户名和密码请求登录网站A在用户信息通过验证后,网站 A 产生 Cookie 信息并返回给浏览器,此时用户登录网站 A 成功,可以正常发送请求到网站A用户未退出网站 A 之前,在同一浏览器中,打开一个 TAB 页访问网站 B网站 B 接收到用户请求后,返回一些攻击性代码,并发出一个请求要求访问第三方站点 A。
WEB安全学习笔记
chenrs727的博客
12-02 2156
基础入门 1.基础入门——基础概念 域名 什么是域名 域名(英语:Domain Name),又称网域,是由一串用点分隔的名字组成的Internet上某一台计算机或计算机组的名称,用于在数据传输时对计算机的定位标识(有时也指地理位置) 由于IP地址具有不方便记忆并且不能显示地址组织的名称和性质等缺点,人们设计出了域名,并通过网域名称系统(DNS,Domain Name System)来将域名和IP地址相互映射,使人更方便地访问互联网,而不用去记住能够被机器直接读取的IP地址数串。 比如www.bai
网络安全事件应急响应实战二
悦分享
09-14 1万+
当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业。新闻源网站一般权重较高,收录快,能够被搜索引擎优先收录,是黑灰产推广引流的必争之地,很容易成为被攻击的对象。短连接(short connnection)是相对于长连接而言的概念,指的是在数据传送过程中,只在需要发送数据时,才去建立一个连接,数据发送完成后,则断开此连接,即每次连接只完成一项业务的发送。
Java-WebHttp协议的验证(Http响应头)
macx_1371873xxxx的博客
02-03 895
(1)302+location=重定向 //服务端通知客户端重定向         response.setStatus(302);         //服务端通知客户端重定向的目标资源         response.setHeader("location","/day05/index.html");                                     
检测到目标URL存在http host攻击漏洞——验证
Orangesir的博客
12-14 3万+
公司的语音分析系统,局方安全扫描到此漏洞,需要修复 研发修复完成后,使用公司的小安平台(http://sec.iflytek.com/#/portal)测试仍存在此漏洞,咨询了公司安全管理部门,我们公司的小安平台存在误报。 本着认真负责的态度,自己从网上找资料使用其他工具进行验证。 工具: ① Burp_Suite_Pro_v1.7.32_Loader_Keygen.zip 【用于攻...
java实现ip首部校验和算法_IP数据报首部checksum的计算
weixin_39948277的博客
02-27 861
一、首先区别下面两个概念:(1)one's complement:正数=原码,负数=反码(2)two's complement:就是通常所指的补码二、计算ip首部校验和1.发送IP数据报计算checksum(1)将校验和字段置为0;(2)对首部中(一般为20B)每个16位字进行二进制反码求和;(这里的文字描述是有问题的,每个16bit进行二进制反码求和,是要把16bit先去反码再求和吗?实际上是1...
第31讲 | 你了解Java应用开发中的注入攻击吗?
最新发布
qq_37756660的博客
05-20 864
安全是软件开发领域永远的主题之一,随着新技术浪潮的兴起,安全的重要性愈发凸显出来,对于金融等行业,甚至可以说安全是企业的生命线。不论是移动设备、普通 PC、小型机,还是大规模分布式系统,以及各种主流操作系统,Java 作为软件开发的基础平台之一,可以说是无处不在,自然也就成为安全攻击的首要目标之一。今天要问你的问题是,你了解 Java 应用开发中的注入攻击吗?
java Host攻击漏洞解决方案
起止洺的博客
01-11 3857
java 解决Host攻击漏洞 在配置文件中配置IP和端口号 server: port: 9099 address: 172.16.64.208 配置过滤器,拦截请求 package com.sgcc.springboot_host; import org.springframework.beans.factory.annotation.Value; import org.springframework.context.annotation.Configuration; impor
web渗透测试----12、HTTP主机标头漏洞
七天
03-19 5321
在本节中,我们将讨论错误配置和有缺陷的业务逻辑如何通过HTTP Host标头使网站遭受各种攻击。我们将概述用于识别易受HTTP Host标头攻击的网站的高级方法,并演示如何利用此方法。最后,我们将提供一些有关如何保护自己的网站的一般指导。 主机头攻击 我们创建了许多实验室,这些实验室有意受到这些技术的影响。如果您愿意,可以直接去实验室测试您的技能。 实验室 主机头攻击实验室 什么是HTTP Host标头? 从HTTP / 1.1开始,HTTP Host标头是必需的请求标头。它指定客户端要访问的域名。例如,当
深入理解Java应用开发中的注入攻击及其防护策略
让每一行代码都有改变世界的力量
03-10 1073
注入攻击Java应用开发中常见的安全威胁之一,对应用程序的安全性和稳定性构成严重威胁。为了保护应用程序免受注入攻击的侵害,开发者需要采取一系列综合的防护策略,包括输入验证与过滤、参数化查询、最小权限原则、安全编码与审计、安全更新与补丁管理以及监控与日志记录等。只有全面考虑并应用这些防护策略,我们才能确保Java应用的安全性和稳定性。
后端Java开发如何防御XSS攻击
码农小胖哥
06-30 3189
跨站脚本攻击(XSS)可以让攻击者在受害者的浏览器中执行恶意脚本来修改网页内容、将用户重定向到非法网站、伪造用户登录态、窃取用户的隐私信息、甚至还能给程序开个后门等等,所以不得不防。今天就...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值