【发布时间】:2017-09-15 10:42:24
【问题描述】:
我从 IT-Sec 得到了这个问题,我已经仔细阅读和搜索,但我仍然找不到任何实际的解决方案来解决这个问题。在这里。
"HTTP Host 标头可以被攻击者控制。这可以通过使用网络缓存中毒和滥用替代通道来利用。Pentester 尝试使用修改标头主机请求。响应结果显示修改主机标头。受影响文件:
- 应用程序/公式
- app/kompensasi
- app/panduan-agen
- app/produk-dan-layanan
- app/tentang
- app/tentang-
- 应用/培训
此漏洞的影响 攻击者可以操纵 Web 应用程序看到的 Host 标头,并导致应用程序以意想不到的方式运行。”
这是标题 sc : header
目前推荐的解决方案是:
Web 应用程序应使用 SERVER_NAME 而不是 Host 标头
此应用在 xampp 上运行,并设置了反向代理进行测试。我已经对 config.php 进行了 3 次更改,但问题仍然存在。这是代码。
if(isset($_SERVER[SERVER_NAME])) {
$config['base_url'] = isset($_SERVER['HTTPS']) && strtolower($_SERVER['HTTPS']) == 'on' ? 'https' : 'http';
$config['base_url'] = '://'. $_SERVER['SERVER_NAME'];
$config['base_url'] = str_replace(basename($_SERVER['SCRIPT_NAME']), '', $_SERVER['SCRIPT_NAME']);
}
else{
$config['base_url'] = '';
}
和2:
$config['base_url'] = 'http://$_SERVER[SERVER_NAME]';
和 3:
$config['base_url'] = 'https://jktdc.*********.com/app'
我要问的是,我必须如何/在哪里/究竟要更改/添加什么来解决这个问题。不是抨击。非常感谢。
【问题讨论】:
-
嘿,你找到解决办法了吗?
标签: php codeigniter security http-headers