WEB漏洞-HTTP host頭攻擊
利用burpsuite,攔截報表中的請求,修改host頭 。
查看攻擊是否成功。
如果成功,就需要後臺寫個方法,對此HttpContext.Current進行約束,即對輸入的host加以特定的限制。
再次掃描,安全通過。
如果遇到nignx轉tomcat的情況,需要在nignx的配置信息中進行設置,添加如下兩行代碼:
proxy_http_version 1.1;proxy_set_header Connection "";
具體內容請查看來源地址:https://zhuanlan.zhihu.com/p/37464758
添加後,掃描通過。