Host Header Injection

4 naročniki

Pozdravljeni, zopet sem si našel novo težavo. Tokrat gre za Host Header Injection. Nikjer nisem našel nobene rešitve. Vem, da gre za napade kot so naprimer:

<a href="<?=$_SERVER['HTTP_HOST']?>/login">Login</a>

Mogoče kdo ve, kako bi laho to rešil?

Hvala in lep pozdrav.

Zakaj bi host header sploh hotel vkljucit v prikaz stran?
Kot drugo ne vidim potencialne nevarnosti ce uporabljas host samo za izpis.

http://php.net/manual/en/reserved.variables.server.php

'HTTP_HOST'
Contents of the Host: header from the current request, if there is one.

http://www.skeletonscribe.net/2013/05/practical-http-host-header-attacks.html

Mogoče kdo ve, kako bi laho to rešil?

Če iščeš samo hiter popravek za že obstoječo rešitev potem pač preverjaš (pred izpisom vsebine strani) kaj je v $SERVER['HTTPHOST'].

Dober post. Ja, naredi whitelist kaj lahko Http_host vsebuje.

Hvala za pojasnila.