Host头攻击技术解析及防御

译文
安全 应用安全 黑客攻防
通过本文的阅读,你将了解到什么是Host头攻击,如何抵御该攻击,以及此类攻击所揭示出的何种漏洞。

【51CTO.com快译】一般而言,几个网站以共享的方式宿驻在同一台web服务器之上,或者几个web应用程序共享同一个IP地址,这都是业界一些非常通用的做法。当然,这也就是host头(host header或称主机头)的存在原因。host头指定了应该由哪个网站或是web应用程序来处理一个传入的HTTP请求。web服务器使用该头部的值来将请求分派到指定的网站或web应用程序之上。宿驻在同一IP地址上的每个web应用程序通常被称为虚拟主机。那么针对host头的攻击是由什么所组成的呢?

[[191219]]

我们来看看如果指定的是一个无效的host头会发生什么?大多数web服务器被配置为将无法识别的host头传送到列表中的第一台虚拟主机之上。因此,这使得把携带有任意host头的请求发送到第一台虚拟主机上是完全可能的。

另一种传送任意host头的方法是使用X-Forwarded-Host头。在某些配置中,这个头会被主机头的值所重写。因此很可能会产生如下的请求。

GET / HTTP/1.1 Host: www.example.com X-Forwarded-Host: www.attacker.com

许多web应用程序都依赖于HTTP的host头来解读出“他们在何处”。可不幸的是,许多应用程序开发人员没有意识到HTTP的host头是由用户所控制的。正如你可能已经知道的那样,在应用程序的安全理念中,用户的输入应该总是被认为不安全的。因此,在未被正确地得到事先验证之前,请永远不要去信任它们。

虽然在PHP web应用程序中,对于host头的使用是非常普遍的;但是,这实际上并非是PHP web应用程序所独有问题。下面示例中的PHP脚本是一个典型的、危险的host头的用例。

攻击者通过操纵host头,可以操控上面的代码来产生下面这种HTML类型的输出。

  1. <script src="http://attacker.com/script.js"> 

一般有两种主要的host头攻击的方法:包括使网页缓存“带毒”,和利用替代渠道来对敏感的操作进行滥用,例如进行密码重置。

网页缓存的中毒

网页缓存的中毒是指攻击者使用该技术来操控网页缓存,并向任何请求页面的人提供带毒的内容。

对于这种情况的发生,攻击者需要使一台缓存代理中毒,而该缓存可以运作在网站本身、或是下游供应商、内容分发网络(CDNs)、连锁合作商或是其他客户机和服务器之间的缓存机制中。该缓存随后将带毒的内容提供给任何请求它的人,而受害者面对这些所提供的恶意内容,无论如何都是没有控制权的。

下面的例子就是攻击者如何通过网页缓存中毒的方式,从而进行host头攻击的。

  1. $ telnet www.example.com 80 
  2. Trying x.x.x.x... 
  3. Connected to www.example.com. 
  4. Escape character is '^]'. 
  5. GET /index.html HTTP/1.1 
  6. Host: attacker.com 
  7. HTTP/1.1 200 OK 
  8. ... 
  9. <html> 
  10. <head> 
  11. <title>Example</title> 
  12. <script src="http://attacker.com/script.js"> 

密码重置的中毒

一种普遍的用来实现密码重置功能的方法是:生成一个密钥令牌,并且发送一封包含着该令牌的超级链接的电子邮件。如果一个攻击者请求一个带有attacker-controlled的host头类型的密码重置,会发生什么呢?

如果在生成重置链接时,该web应用程序使用到这个host头的值,攻击者就可以在密码重置链接中“投毒”并发送到受害者那里。而如果受害者点开了邮件中“带毒”的重置链接,那么攻击者将能获得密码重置的令牌,进而可以重置受害者的密码了。

检测密码重置中毒的漏洞

我们将使用一个旧版本的Piwik(一个开源的web分析平台)作为此类漏洞的实例,因为它比较容易受到“带毒”的host头攻击类型的密码重置。

为了检测到密码重置的自动中毒,我们需要依靠一个中介服务,因为对于“带毒”的host头攻击类型的密码重置的检测,需要一个带外的且延时的向量。为了实现此目的,Acunetix(网络漏洞扫描软件)在自动扫描过程中会使用AcuMonitor作为其中介服务。

而在扫描过程中,Acunetix将查找密码重置页面并注入一个自定义的host头,用以指向一个AcuMonitor的域。如果漏洞存在的话,那么有问题的应用程序(如本例中旧版本的Piwik)将使用该值来生成密码重置的链接,并以电子邮件的形式发送给相关的用户。如下所示:

在上面的图片中,请认真查看其重置链接的位置,它指向的是AcuMonitor的域,而不是web应用程序的域。

如果“受害者”(在这个例子中,因为它采取的是自动扫描,受害者很可能是安全团队中的一员,他接收电子邮件后开始进行扫描),点击该链接,AcuMonitor将捕获该请求,并会发回一个通知给Acunetix,指示它应该生成一个“带毒”的host头攻击类型的密码重置的警报。

减缓

减缓和应对host头的攻击,其实非常简单——就是不要信任host头。然而在某些情况下,却是说起来容易做起来难(特别是涉及到遗留下来的旧代码的时候)。如果你必须使用host头作为一种识别web服务器位置的机制的话,我强烈建议你使用包含有各个被允许的主机名的白名单来进行应对。

原文标题:What Is a Host Header Attack?,作者: Ian Muscat 

【51CTO译稿,合作站点转载请注明原文译者和出处为51CTO.com】

责任编辑:蓝雨泪 来源: 51CTO.com
相关推荐

2010-09-30 15:20:01

2016-09-30 15:59:41

2017-06-08 19:19:10

2015-05-13 10:36:43

2024-06-28 08:00:00

端口扫描安全

2011-04-06 13:02:31

2015-11-09 15:58:03

2023-03-06 08:00:00

2014-05-29 09:34:25

2013-12-11 09:51:33

2013-11-04 09:15:58

2013-05-22 18:06:41

2010-09-10 10:57:33

2009-07-12 16:50:08

2009-01-16 10:40:50

2016-01-28 14:21:16

2018-12-14 14:59:54

2012-11-30 14:54:48

2013-05-14 18:14:38

点赞
收藏

51CTO技术栈公众号