日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

一般而言，幾個網(wǎng)站以共享的方式宿駐在同一臺web服務(wù)器之上，或者幾個web應(yīng)用程序共享同一個IP地址，這都是業(yè)界一些非常通用的做法。當(dāng)然，這也就是host頭(host header或稱主機(jī)頭)的存在原因。host頭指定了應(yīng)該由哪個網(wǎng)站或是web應(yīng)用程序來處理一個傳入的HTTP請求。web服務(wù)器使用該頭部的值來將請求分派到指定的網(wǎng)站或web應(yīng)用程序之上。宿駐在同一IP地址上的每個web應(yīng)用程序通常被稱為虛擬主機(jī)。那么針對host頭的攻擊是由什么所組成的呢?

創(chuàng)新互聯(lián)建站網(wǎng)站建設(shè)提供從項目策劃、軟件開發(fā)，軟件安全維護(hù)、網(wǎng)站優(yōu)化(SEO)、網(wǎng)站分析、效果評估等整套的建站服務(wù)，主營業(yè)務(wù)為成都做網(wǎng)站、網(wǎng)站建設(shè)，手機(jī)APP定制開發(fā)以傳統(tǒng)方式定制建設(shè)網(wǎng)站，并提供域名空間備案等一條龍服務(wù)，秉承以專業(yè)、用心的態(tài)度為用戶提供真誠的服務(wù)。創(chuàng)新互聯(lián)建站深信只要達(dá)到每一位用戶的要求，就會得到認(rèn)可，從而選擇與我們長期合作。這樣，我們也可以走得更遠(yuǎn)！

我們來看看如果指定的是一個無效的host頭會發(fā)生什么?大多數(shù)web服務(wù)器被配置為將無法識別的host頭傳送到列表中的第一臺虛擬主機(jī)之上。因此，這使得把攜帶有任意host頭的請求發(fā)送到第一臺虛擬主機(jī)上是完全可能的。

另一種傳送任意host頭的方法是使用X-Forwarded-Host頭。在某些配置中，這個頭會被主機(jī)頭的值所重寫。因此很可能會產(chǎn)生如下的請求。

GET / HTTP/1.1 Host: www.example.com X-Forwarded-Host: www.attacker.com

許多web應(yīng)用程序都依賴于HTTP的host頭來解讀出“他們在何處”?？刹恍业氖?，許多應(yīng)用程序開發(fā)人員沒有意識到HTTP的host頭是由用戶所控制的。正如你可能已經(jīng)知道的那樣，在應(yīng)用程序的安全理念中，用戶的輸入應(yīng)該總是被認(rèn)為不安全的。因此，在未被正確地得到事先驗證之前，請永遠(yuǎn)不要去信任它們。

雖然在PHP web應(yīng)用程序中，對于host頭的使用是非常普遍的;但是，這實際上并非是PHP web應(yīng)用程序所獨(dú)有問題。下面示例中的PHP腳本是一個典型的、危險的host頭的用例。

攻擊者通過操縱host頭，可以操控上面的代碼來產(chǎn)生下面這種HTML類型的輸出。