Host Header Injection 漏洞分析与防御指南<\/h1>

0x01 漏洞原理<\/h2>

Host Header Injection（主机头注入）是一种由于服务器对Host头部处理不当而导致的安全漏洞。其核心原理如下：<\/p>

HTTP Host头部的作用<\/strong>：在共享主机环境下，一个Web服务器通常托管多个网站，Host头部用于区分客户端请求的是哪个网站。<\/p> <\/li>
漏洞产生原因<\/strong>：当服务器直接信任并使用了客户端提供的Host头部值，而没有进行适当的验证和过滤时，就可能产生安全问题。<\/p> <\/li>

典型漏洞代码示例<\/strong>：<\/p> <\/li> <\/ol>
<<\/span>a<\/span> href<\/span>=<\/span>"http:\/\/<?php echo <\/span>$_SERVER['HOST']<\/span> ?>"<\/span>><\/span>Redirect<\/span><\/<\/span>a<\/span>><\/span> <\/span><\/span><\/code><\/pre>这段代码直接使用了$_SERVER['HOST']<\/code>（可通过HTTP请求修改）来构建重定向链接，存在安全隐患。<\/p> 0x02 黑盒测试方法<\/h2> 测试步骤<\/h3> 直接修改Host头部<\/strong>：<\/p> GET \/ HTTP\/1.1 Host: malicious.com <\/code><\/pre> <\/li> 参数污染技术<\/strong>：<\/p> GET \/ HTTP\/1.1 Host: example.com Host: malicious.com <\/code><\/pre> <\/li> 使用伪造请求头<\/strong>：<\/p> GET \/ HTTP\/1.1 Host: example.com X-Forwarded-For: malicious.com <\/code><\/pre> <\/li> <\/ol> 测试用例<\/h3> 观察服务器响应中是否直接使用了提供的Host值<\/li> 检查是否有基于Host头部的重定向行为<\/li> 验证是否有缓存机制会受到Host头部影响<\/li> <\/ol> 0x03 漏洞危害<\/h2> 1. 缓存投毒 (Cache Poisoning)<\/h3> 攻击流程：<\/p> 正常访问example.com<\/li> 服务器返回302跳转到https:\/\/www.example.com\/login<\/code><\/li> 修改请求头Host为malicious.com<\/li> 服务器返回302跳转到https:\/\/www.malicious.com\/login<\/code><\/li> 后续用户访问example.com时可能被直接跳转到恶意网站<\/li> <\/ol> 2. 开放重定向 (Open Redirection)<\/h3> 通过修改Host头部，攻击者可构造恶意重定向链接：<\/p> HTTP\/1.1 302 Found Location: http:\/\/malicious.com <\/code><\/pre> 3. CRLF注入<\/h3> 利用Host头部注入CRLF（回车换行）字符：<\/p> Host: example.com%0d%0aSet-Cookie:test=true; <\/code><\/pre> 可能导致HTTP响应头注入，设置恶意cookie等。<\/p> 4. 密码重置劫持<\/h3> 攻击流程：<\/p> 正常密码重置链接：http:\/\/www.example.com\/Token\/<\/code><\/li> 修改Host为malicious.com<\/li> 用户收到的重置链接变为：http:\/\/www.malicious.com\/Token\/<\/code><\/li> 用户点击后，攻击者可从服务器日志获取Token<\/li> <\/ol> 0x04 修复方案<\/h2> 1. Host白名单验证<\/h3> $allowed_hosts =<\/span> ['example.com'<\/span>, 'www.example.com'<\/span>]; <\/span><\/span>if<\/span> (!<\/span>in_array<\/span>($_SERVER['HTTP_HOST'<\/span>], $allowed_hosts)) { <\/span><\/span> die<\/span>("Invalid Host header"<\/span>); <\/span><\/span>} <\/span><\/span><\/code><\/pre>2. 获取真实Host<\/h3> 配置Web服务器只响应特定的Host<\/li> 在Nginx中：<\/li> <\/ul> server<\/span> { <\/span><\/span> listen<\/span> 80<\/span>; <\/span><\/span> server_name<\/span> example.com<\/span> www.example.com<\/span>; <\/span><\/span> if<\/span> (<\/span>$host !~*<\/span> ^(example.com|www.example.com)<\/span>$ )<\/span> { <\/span><\/span> return<\/span> 444<\/span>; <\/span><\/span> } <\/span><\/span> ...<\/span> <\/span><\/span>}<\/span> <\/span><\/span><\/code><\/pre>3. 其他防御措施<\/h3> 避免直接使用Host头部构建URL或重定向<\/li> 对用户提供的Host值进行严格验证和过滤<\/li> 使用SERVER_NAME代替HTTP_HOST（但需注意其可能受服务器配置影响）<\/li> 实施严格的CRLF过滤<\/li> <\/ol> 总结<\/h2> Host Header Injection是一种由于服务器过度信任客户端提供的Host头部而导致的安全漏洞，可能导致缓存投毒、开放重定向、CRLF注入和密码重置劫持等多种攻击。通过实施Host白名单、严格验证用户输入和正确配置服务器，可以有效防御此类漏洞。<\/p>