HTTP Host 标头攻击原理与实战指南<\/h1>

一、HTTP Host 标头基础<\/h2>

1.1 Host 标头定义<\/h3>

HTTP Host 标头是自 HTTP\/1.1 起强制要求的请求标头，用于指定客户端想要访问的域名。例如访问 https:\/\/baidu.com<\/code> 时，请求头会包含：<\/p>

Host: baidu.com
<\/code><\/pre>
1.2 Host 标头的主要用途<\/h3>

虚拟主机支持<\/strong>：帮助服务器识别客户端想要访问的特定网站<\/li>
流量路由<\/strong>：在通过中介系统转发请求时指导路由方向<\/li>
绝对URL生成<\/strong>：网站生成包含当前域名的链接时可能依赖Host值<\/li>
<\/ul>
二、HTTP Host 标头攻击原理<\/h2>
2.1 漏洞成因<\/h3>

盲目信任<\/strong>：服务器隐式信任Host标头而未验证或转义<\/li>
配置不当<\/strong>：基础设施配置不安全，特别是集成第三方技术时<\/li>
验证缺陷<\/strong>：验证逻辑存在缺陷或可以被绕过<\/li>
标头覆盖<\/strong>：Host可能被其他注入标头(X-Forwarded-Host等)覆盖<\/li>
<\/ul>
2.2 常见攻击类型<\/h3>

Host标头注入<\/strong>：直接注入恶意payload<\/li>
密码重置中毒<\/strong>：篡改密码重置链接中的域名<\/li>
认证绕过<\/strong>：通过伪造Host绕过访问控制<\/li>
Web缓存中毒<\/strong>：利用缓存系统与后端对Host解析的差异<\/li>
SSRF攻击<\/strong>：利用中间件基于Host的路由功能<\/li>
<\/ol>
三、漏洞探测技术<\/h2>
3.1 基本探测方法<\/h3>

提供任意不可识别域名，观察响应<\/li>
使用Burp Suite确保请求到达预期目标（分离Host标头与目标IP）<\/li>
<\/ol>
3.2 绕过验证的技术<\/h3>

端口注入<\/strong>：添加非数字端口绕过域名验证
Host: vulnerable.com:badpayload
<\/code><\/pre>
<\/li>
子域名欺骗<\/strong>：注册以白名单域名结尾的任意域名
Host: attacker-mydomain.com
<\/code><\/pre>
<\/li>
利用不安全子域名<\/strong>：通过已被入侵的子域名进行攻击<\/li>
<\/ol>
3.3 模糊请求技术<\/h3>

重复Host标头<\/strong>：添加多个Host标头利用系统解析差异
Host: vulnerable.com
Host: attacker.com
<\/code><\/pre>
<\/li>
绝对URL<\/strong>：在请求行使用绝对URL制造解析歧义
GET https:\/\/attacker.com\/ HTTP\/1.1
Host: vulnerable.com
<\/code><\/pre>
<\/li>
添加换行\/空格<\/strong>：通过缩进标头制造解析差异
Host: vulnerable.com
 Host: attacker.com
<\/code><\/pre>
<\/li>
覆盖标头<\/strong>：使用X-Forwarded-Host等标头覆盖Host
Host: vulnerable.com
X-Forwarded-Host: attacker.com
<\/code><\/pre>
<\/li>
<\/ol>
四、实战攻击案例<\/h2>
4.1 密码重置中毒<\/h3>
步骤<\/strong>：<\/p>

找到密码重置功能<\/li>
修改Host为攻击者控制的域名<\/li>
触发密码重置请求<\/li>
在攻击者服务器日志中捕获重置令牌<\/li>
<\/ol>
关键点<\/strong>：<\/p>

确保目标应用使用Host生成重置链接<\/li>
可能需要结合其他参数如username<\/li>
<\/ul>
4.2 认证绕过<\/h3>
步骤<\/strong>：<\/p>

发现受限接口(如\/admin)<\/li>
收到"仅限本地访问"提示<\/li>
修改Host为localhost<\/li>
访问受限功能<\/li>
<\/ol>
4.3 Web缓存中毒<\/h3>
步骤<\/strong>：<\/p>

找到缓存响应(X-Cache: hit)<\/li>
注入恶意Host并添加缓存键参数<\/li>
诱导用户访问被缓存的恶意响应<\/li>
<\/ol>
4.4 基于路由的SSRF<\/h3>
步骤<\/strong>：<\/p>

确认中间件基于Host路由请求<\/li>
替换Host为内部IP或Collaborator域名<\/li>
探测内部网络服务<\/li>
访问内部管理接口<\/li>
<\/ol>
4.5 通过有缺陷的请求解析实现SSRF<\/h3>
步骤<\/strong>：<\/p>

发现Host标头无法直接修改<\/li>
使用绝对URL绕过限制<\/li>
扫描内部网络(如192.168.0.0\/24)<\/li>
访问内部管理接口<\/li>
<\/ol>
4.6 通过悬垂标记的密码重置中毒<\/h3>
步骤<\/strong>：<\/p>

发现密码重置邮件包含原始密码<\/li>
通过非数字端口注入悬垂标记
Host: vulnerable.com:'>
<\/code><\/pre>
<\/li>
<\/ol>

HTTP Host 标头攻击原理与实战指南<\/h1>

一、HTTP Host 标头基础<\/h2>

二、HTTP Host 标头攻击原理<\/h2>

三、漏洞探测技术<\/h2>

四、实战攻击案例<\/h2>

4.6 通过悬垂标记的密码重置中毒<\/h3> 步骤<\/strong>：<\/p> 发现密码重置邮件包含原始密码<\/li> 通过非数字端口注入悬垂标记 Host: vulnerable.com:'> <\/code><\/pre> <\/li> <\/ol>

4.6 通过悬垂标记的密码重置中毒<\/h3>
步骤<\/strong>：<\/p>

发现密码重置邮件包含原始密码<\/li>
通过非数字端口注入悬垂标记
`Host: vulnerable.com:'> <\/code><\/pre> <\/li> <\/ol>`