Php 主机头攻击漏洞
在我的虚拟主机文件中,我允许所有主机Php 主机头攻击漏洞,php,apache,.htaccess,virtualhost,Php,Apache,.htaccess,Virtualhost,在我的虚拟主机文件中,我允许所有主机 <VirtualHost *:80> DocumentRoot "C:/xampp/htdocs" ServerName localhost </VirtualHost> <VirtualHost *:80> DocumentRoot "C:/xampp/htdocs/example" ServerName example.dev ServerAlias www.example.dev <Directory "c:
<VirtualHost *:80>
DocumentRoot "C:/xampp/htdocs"
ServerName localhost
</VirtualHost>
<VirtualHost *:80>
DocumentRoot "C:/xampp/htdocs/example"
ServerName example.dev
ServerAlias www.example.dev
<Directory "c:/xampp/htdocs/example">
Order allow,deny
Allow from all
</Directory>
</VirtualHost>
<VirtualHost *:80>
DocumentRoot "C:/xampp/htdocs/example"
ServerName example.dev
ServerAlias www.example.dev
<Directory "c:/xampp/htdocs/example">
AllowOverride All
Require all Granted
</Directory>
</VirtualHost>
DocumentRoot“C:/xampp/htdocs”
服务器名本地主机
DocumentRoot“C:/xampp/htdocs/example”
ServerName example.dev
ServerAlias www.example.dev
命令允许,拒绝
通融
DocumentRoot“C:/xampp/htdocs/example”
ServerName example.dev
ServerAlias www.example.dev
允许超越所有
要求所有授权
当我在burp软件请求中点击url www.example.dev时,如下所示
更改主机名后
它显示了反应
我想如果有人试图更改主机名,那么它将被重定向到错误消息页面这正是我的问题,建议的解决方案是将HTTP_主机更改为服务器_名称,这还不能解决问题。我不明白您为什么需要这个?Web服务器将读取主机并检查它是否是它知道如何服务的虚拟主机之一,如果不是,将使用默认主机进行响应。如果需要,可以将默认主机设置为be 404页面。我需要这个,因为在审核时,安全人员给我这个漏洞来解决这个问题另一方面有一个安全问题你能告诉我如何解决这个问题吗?如果有人在请求之间更改主机,那么它应该重定向到错误页面你有两个vhost用于相同的主机名和相同的文档根,这没有意义。只是不要信任
HTTP\u主机
头,这就足够了。唯一的漏洞是当您信任HTTP\u主机时,人们伪造该主机以在您的页面中创建恶意链接(etc),这可能看起来更可信。