Host頭攻擊技術解析及防御
譯文【51CTO.com快譯】一般而言,幾個網站以共享的方式宿駐在同一臺web服務器之上,或者幾個web應用程序共享同一個IP地址,這都是業界一些非常通用的做法。當然,這也就是host頭(host header或稱主機頭)的存在原因。host頭指定了應該由哪個網站或是web應用程序來處理一個傳入的HTTP請求。web服務器使用該頭部的值來將請求分派到指定的網站或web應用程序之上。宿駐在同一IP地址上的每個web應用程序通常被稱為虛擬主機。那么針對host頭的攻擊是由什么所組成的呢?
我們來看看如果指定的是一個無效的host頭會發生什么?大多數web服務器被配置為將無法識別的host頭傳送到列表中的第一臺虛擬主機之上。因此,這使得把攜帶有任意host頭的請求發送到第一臺虛擬主機上是完全可能的。
另一種傳送任意host頭的方法是使用X-Forwarded-Host頭。在某些配置中,這個頭會被主機頭的值所重寫。因此很可能會產生如下的請求。
GET / HTTP/1.1 Host: www.example.com X-Forwarded-Host: www.attacker.com
許多web應用程序都依賴于HTTP的host頭來解讀出“他們在何處”。可不幸的是,許多應用程序開發人員沒有意識到HTTP的host頭是由用戶所控制的。正如你可能已經知道的那樣,在應用程序的安全理念中,用戶的輸入應該總是被認為不安全的。因此,在未被正確地得到事先驗證之前,請永遠不要去信任它們。
雖然在PHP web應用程序中,對于host頭的使用是非常普遍的;但是,這實際上并非是PHP web應用程序所獨有問題。下面示例中的PHP腳本是一個典型的、危險的host頭的用例。
攻擊者通過操縱host頭,可以操控上面的代碼來產生下面這種HTML類型的輸出。
- <script src="http://attacker.com/script.js">
一般有兩種主要的host頭攻擊的方法:包括使網頁緩存“帶毒”,和利用替代渠道來對敏感的操作進行濫用,例如進行密碼重置。
網頁緩存的中毒
網頁緩存的中毒是指攻擊者使用該技術來操控網頁緩存,并向任何請求頁面的人提供帶毒的內容。
對于這種情況的發生,攻擊者需要使一臺緩存代理中毒,而該緩存可以運作在網站本身、或是下游供應商、內容分發網絡(CDNs)、連鎖合作商或是其他客戶機和服務器之間的緩存機制中。該緩存隨后將帶毒的內容提供給任何請求它的人,而受害者面對這些所提供的惡意內容,無論如何都是沒有控制權的。
下面的例子就是攻擊者如何通過網頁緩存中毒的方式,從而進行host頭攻擊的。
- $ telnet www.example.com 80
- Trying x.x.x.x...
- Connected to www.example.com.
- Escape character is '^]'.
- GET /index.html HTTP/1.1
- Host: attacker.com
- HTTP/1.1 200 OK
- ...
- <html>
- <head>
- <title>Example</title>
- <script src="http://attacker.com/script.js">
密碼重置的中毒
一種普遍的用來實現密碼重置功能的方法是:生成一個密鑰令牌,并且發送一封包含著該令牌的超級鏈接的電子郵件。如果一個攻擊者請求一個帶有attacker-controlled的host頭類型的密碼重置,會發生什么呢?
如果在生成重置鏈接時,該web應用程序使用到這個host頭的值,攻擊者就可以在密碼重置鏈接中“投毒”并發送到受害者那里。而如果受害者點開了郵件中“帶毒”的重置鏈接,那么攻擊者將能獲得密碼重置的令牌,進而可以重置受害者的密碼了。
檢測密碼重置中毒的漏洞
我們將使用一個舊版本的Piwik(一個開源的web分析平臺)作為此類漏洞的實例,因為它比較容易受到“帶毒”的host頭攻擊類型的密碼重置。
為了檢測到密碼重置的自動中毒,我們需要依靠一個中介服務,因為對于“帶毒”的host頭攻擊類型的密碼重置的檢測,需要一個帶外的且延時的向量。為了實現此目的,Acunetix(網絡漏洞掃描軟件)在自動掃描過程中會使用AcuMonitor作為其中介服務。
而在掃描過程中,Acunetix將查找密碼重置頁面并注入一個自定義的host頭,用以指向一個AcuMonitor的域。如果漏洞存在的話,那么有問題的應用程序(如本例中舊版本的Piwik)將使用該值來生成密碼重置的鏈接,并以電子郵件的形式發送給相關的用戶。如下所示:
在上面的圖片中,請認真查看其重置鏈接的位置,它指向的是AcuMonitor的域,而不是web應用程序的域。
如果“受害者”(在這個例子中,因為它采取的是自動掃描,受害者很可能是安全團隊中的一員,他接收電子郵件后開始進行掃描),點擊該鏈接,AcuMonitor將捕獲該請求,并會發回一個通知給Acunetix,指示它應該生成一個“帶毒”的host頭攻擊類型的密碼重置的警報。
減緩
減緩和應對host頭的攻擊,其實非常簡單——就是不要信任host頭。然而在某些情況下,卻是說起來容易做起來難(特別是涉及到遺留下來的舊代碼的時候)。如果你必須使用host頭作為一種識別web服務器位置的機制的話,我強烈建議你使用包含有各個被允許的主機名的白名單來進行應對。
原文標題:What Is a Host Header Attack?,作者: Ian Muscat
【51CTO譯稿,合作站點轉載請注明原文譯者和出處為51CTO.com】
