問：nxhtjz.com 公安網(wǎng)安提示3.1.1.檢測(cè)到目標(biāo)URL存在http host頭攻擊漏洞,nxhtjz.com 公安網(wǎng)安提示3.1.1.檢測(cè)到目標(biāo)URL存在http host頭攻擊漏洞

答：您好，

請(qǐng)將具體的漏洞截圖以及修復(fù)方案截圖發(fā)送到工單我司核實(shí)一下，非常感謝您長期對(duì)我司的支持!

問：1.1.1. 檢測(cè)到目標(biāo)URL存在http host頭攻擊漏洞請(qǐng)求方式

GET

URL

http://www.nxhtjz.com/data/include/exectask.php?rand0.

問題參數(shù)

Host

參考（驗(yàn)證）

http://www.nxhtjz.com/data/include/exectask.php?rand0.HOST)www.wjgxul.com

詳細(xì)描述

為了方便的獲得網(wǎng)站域名，開發(fā)人員一般依賴于HTTP Host header。例如，在php里用_SERVER["HTTP_HOST"]。但是這個(gè)header是不可信賴的，如果應(yīng)用程序沒有對(duì)host header值進(jìn)行處理，就有可能造成惡意代碼的傳入。

解決辦法

web應(yīng)用程序應(yīng)該使用SERVER_NAME而不是host header。

在Apache和Nginx里可以通過設(shè)置一個(gè)虛擬機(jī)來記錄所有的非法host header。在Nginx里還可以通過指定一個(gè)SERVER_NAME名單，Apache也可以通過指定一個(gè)SERVER_NAME名單并開啟UseCanonicalName選項(xiàng)。

威脅分值

5

答：您好，

http://www.nxhtjz.com/data/include/exectask.php?rand0.HOST)www.wjgxul.com

當(dāng)前驗(yàn)證的地址已經(jīng)訪問是404了，并不會(huì)訪問到網(wǎng)站內(nèi)容

并且訪問此鏈接內(nèi)容也是程序攔截了的

非常感謝您長期對(duì)我司的支持!

問：

公安局檢測(cè)到的

答：您好，感謝您提供的信息。您的截圖較模糊，建議您提供電子版，并發(fā)送到 ，以便我們分析核查,非常感謝您長期對(duì)我司的支持.由此給您帶來的不便之處,敬請(qǐng)?jiān)?謝謝!

問：網(wǎng)安檢測(cè)出具的網(wǎng)站安全檢查檢測(cè)報(bào)告里有：點(diǎn)擊劫持：X-Frame-Options header 未配置(低危)的漏洞，這個(gè)漏洞是不是要在服務(wù)器上進(jìn)行設(shè)置？

答：您好，已經(jīng)為您參考https://www.jianshu.com/p/bd11d63f8720 進(jìn)行了特殊設(shè)置，您可以再核實(shí)看看,非常感謝您長期對(duì)我司的支持!

問：ftp賬號(hào)：lpxxweb1,前幾天網(wǎng)站被掛馬了，現(xiàn)在修復(fù)了，用百度網(wǎng)址安全平臺(tái)檢測(cè)還有問題，沒提示具體什么問題，用360網(wǎng)站安全平臺(tái)掃描后發(fā)現(xiàn)有“PHPSESSID已知會(huì)話確認(rèn)攻擊”的漏洞，需要設(shè)置PHP.INI文件，在PHP.INI文件中配置 session.use_only_cookies = 1，能否幫忙設(shè)置，謝謝

答：您好

我們所有虛擬主機(jī)實(shí)際上都是有這樣設(shè)置的,這是360方面檢測(cè)識(shí)別的問題,可以查看探針：http://www.ahjx168.com/tz.php 目前也為您在web.config中添加了如下代碼做了進(jìn)一步屏蔽,請(qǐng)您再試下,非常感謝您長期對(duì)我司的支持!

<?xml version="1.0"?>

<configuration>

<system.web>

       <httpCookies httpOnlyCookies="true"  />

</system.web>

</configuration>





猜你還會(huì)喜歡下面的內(nèi)容

• 網(wǎng)站為什么打開正常，百度跳轉(zhuǎn)成非正規(guī)網(wǎng)站
• 你好，網(wǎng)站開通一下MP4的流媒體播放功能
• MySQL 外網(wǎng)地址無法訪問
• 登錄顯示不出來驗(yàn)證碼-虛擬主機(jī)/數(shù)據(jù)庫問題
• 顯示連接數(shù)據(jù)庫失敗是什么原因
• dfcmotor168 的虛擬主機(jī)請(qǐng)刪除備案碼
• FTP賬號(hào)：里面的文件誤刪了還能恢復(fù)嗎
• 新開的主機(jī)，怎么顯示空間已經(jīng)占滿了？
• 云數(shù)據(jù)庫 訪問很慢-虛擬主機(jī)/數(shù)據(jù)庫問題
• 無法正常php程序-虛擬主機(jī)/數(shù)據(jù)庫問題
• mssql數(shù)據(jù)庫鏈接問題
• gdztgc.com這個(gè)站是綁定哪個(gè)主機(jī)？
• 香港體驗(yàn)主機(jī)網(wǎng)站程序已經(jīng)上傳
• 怎么發(fā)短信說沒有解析你們服務(wù)器是什么問題。
• 上傳網(wǎng)站文件失敗-虛擬主機(jī)/數(shù)據(jù)庫問題
• dghaifa服務(wù)器設(shè)置了index.html為首頁，還是打

熱門標(biāo)簽

其他問題云服務(wù)器問題域名及賬戶問題企業(yè)郵局市場咨詢云服務(wù)器云建站/云站群/小程序虛擬主機(jī)網(wǎng)絡(luò)知識(shí)企業(yè)郵箱域名注冊(cè)域名備案域名商標(biāo)注冊(cè)云主機(jī)更多標(biāo)簽...

大家感興趣的內(nèi)容