【51CTO.com快譯】一般而言，幾個網(wǎng)站以共享的方式宿駐在同一臺web服務(wù)器之上，或者幾個web應(yīng)用程序共享同一個IP地址，這都是業(yè)界一些非常通用的做法。當(dāng)然，這也就是host頭(host header或稱主機頭)的存在原因。host頭指定了應(yīng)該由哪個網(wǎng)站或是web應(yīng)用程序來處理一個傳入的HTTP請求。web服務(wù)器使用該頭部的值來將請求分派到指定的網(wǎng)站或web應(yīng)用程序之上。宿駐在同一IP地址上的每個web應(yīng)用程序通常被稱為虛擬主機。那么針對host頭的攻擊是由什么所組成的呢?

[[191219]]

我們來看看如果指定的是一個無效的host頭會發(fā)生什么?大多數(shù)web服務(wù)器被配置為將無法識別的host頭傳送到列表中的第一臺虛擬主機之上。因此，這使得把攜帶有任意host頭的請求發(fā)送到第一臺虛擬主機上是完全可能的。

另一種傳送任意host頭的方法是使用X-Forwarded-Host頭。在某些配置中，這個頭會被主機頭的值所重寫。因此很可能會產(chǎn)生如下的請求。

GET / HTTP/1.1 Host: www.example.com X-Forwarded-Host: www.attacker.com

許多web應(yīng)用程序都依賴于HTTP的host頭來解讀出“他們在何處”?？刹恍业氖?，許多應(yīng)用程序開發(fā)人員沒有意識到HTTP的host頭是由用戶所控制的。正如你可能已經(jīng)知道的那樣，在應(yīng)用程序的安全理念中，用戶的輸入應(yīng)該總是被認(rèn)為不安全的。因此，在未被正確地得到事先驗證之前，請永遠(yuǎn)不要去信任它們。

雖然在PHP web應(yīng)用程序中，對于host頭的使用是非常普遍的;但是，這實際上并非是PHP web應(yīng)用程序所獨有問題。下面示例中的PHP腳本是一個典型的、危險的host頭的用例。

攻擊者通過操縱host頭，可以操控上面的代碼來產(chǎn)生下面這種HTML類型的輸出。

<script src="http://attacker.com/script.js"> 

一般有兩種主要的host頭攻擊的方法：包括使網(wǎng)頁緩存“帶毒”，和利用替代渠道來對敏感的操作進行濫用，例如進行密碼重置。

網(wǎng)頁緩存的中毒

網(wǎng)頁緩存的中毒是指攻擊者使用該技術(shù)來操控網(wǎng)頁緩存，并向任何請求頁面的人提供帶毒的內(nèi)容。

對于這種情況的發(fā)生，攻擊者需要使一臺緩存代理中毒，而該緩存可以運作在網(wǎng)站本身、或是下游供應(yīng)商、內(nèi)容分發(fā)網(wǎng)絡(luò)(CDNs)、連鎖合作商或是其他客戶機和服務(wù)器之間的緩存機制中。該緩存隨后將帶毒的內(nèi)容提供給任何請求它的人，而受害者面對這些所提供的惡意內(nèi)容，無論如何都是沒有控制權(quán)的。

下面的例子就是攻擊者如何通過網(wǎng)頁緩存中毒的方式，從而進行host頭攻擊的。

$ telnet www.example.com 80 
Trying x.x.x.x... 
Connected to www.example.com. 
Escape character is '^]'. 
GET /index.html HTTP/1.1 
Host: attacker.com 
HTTP/1.1 200 OK 
... 
<html> 
<head> 
<title>Example</title> 
<script src="http://attacker.com/script.js"> 

密碼重置的中毒

一種普遍的用來實現(xiàn)密碼重置功能的方法是：生成一個密鑰令牌，并且發(fā)送一封包含著該令牌的超級鏈接的電子郵件。如果一個攻擊者請求一個帶有attacker-controlled的host頭類型的密碼重置，會發(fā)生什么呢?

如果在生成重置鏈接時，該web應(yīng)用程序使用到這個host頭的值，攻擊者就可以在密碼重置鏈接中“投毒”并發(fā)送到受害者那里。而如果受害者點開了郵件中“帶毒”的重置鏈接，那么攻擊者將能獲得密碼重置的令牌，進而可以重置受害者的密碼了。

檢測密碼重置中毒的漏洞

我們將使用一個舊版本的Piwik(一個開源的web分析平臺)作為此類漏洞的實例，因為它比較容易受到“帶毒”的host頭攻擊類型的密碼重置。

為了檢測到密碼重置的自動中毒，我們需要依靠一個中介服務(wù)，因為對于“帶毒”的host頭攻擊類型的密碼重置的檢測，需要一個帶外的且延時的向量。為了實現(xiàn)此目的，Acunetix(網(wǎng)絡(luò)漏洞掃描軟件)在自動掃描過程中會使用AcuMonitor作為其中介服務(wù)。

而在掃描過程中，Acunetix將查找密碼重置頁面并注入一個自定義的host頭，用以指向一個AcuMonitor的域。如果漏洞存在的話，那么有問題的應(yīng)用程序(如本例中舊版本的Piwik)將使用該值來生成密碼重置的鏈接，并以電子郵件的形式發(fā)送給相關(guān)的用戶。如下所示：

在上面的圖片中，請認(rèn)真查看其重置鏈接的位置，它指向的是AcuMonitor的域，而不是web應(yīng)用程序的域。

如果“受害者”(在這個例子中，因為它采取的是自動掃描，受害者很可能是安全團隊中的一員，他接收電子郵件后開始進行掃描)，點擊該鏈接，AcuMonitor將捕獲該請求，并會發(fā)回一個通知給Acunetix，指示它應(yīng)該生成一個“帶毒”的host頭攻擊類型的密碼重置的警報。

減緩

減緩和應(yīng)對host頭的攻擊，其實非常簡單——就是不要信任host頭。然而在某些情況下，卻是說起來容易做起來難(特別是涉及到遺留下來的舊代碼的時候)。如果你必須使用host頭作為一種識別web服務(wù)器位置的機制的話，我強烈建議你使用包含有各個被允許的主機名的白名單來進行應(yīng)對。

原文標(biāo)題：What Is a Host Header Attack?，作者: Ian Muscat 

【51CTO譯稿，合作站點轉(zhuǎn)載請注明原文譯者和出處為51CTO.com】