7.0.00351.0安全漏洞"Host头攻击"的反馈
我司网络部门反馈,我司使用的BI软件wyn,版本7.0.00351.0,进行安全攻击演练时发现存在以下问题:漏洞名称:Host头攻击 安全漏洞
漏洞类型:web漏洞
漏洞等级:中危
漏洞危害:可能导致HTML注入,XSS漏洞等。
解决方案:参见《Host头攻击 安全漏洞-修复方案》
参考资料:https://owasp.org/www-project-web-security-testing-guide/latest/4-Web_Application_Security_Testing/07-Input_Validation_Testing/17-Testing_for_Host_Header_Injection
请产品方协助处理。
您好,方便提供一下这个安全漏洞的安全报告吗?我这边向产品反馈一下,尽快解决这个问题。 lucas.Yan 发表于 2024-6-12 18:56
您好,方便提供一下这个安全漏洞的安全报告吗?我这边向产品反馈一下,尽快解决这个问题。
我看了一下报告的内容,报告里有我们其它业务系统的敏感信息,可能不太方便给全报告内容。 本帖最后由 blackbug 于 2024-6-12 19:22 编辑
blackbug 发表于 2024-6-12 18:59
我看了一下报告的内容,报告里有我们其它业务系统的敏感信息,可能不太方便给全报告内容。
安全报告里就写存在这个漏洞,详见:
https://owasp.org/www-project-we ... st_Header_Injection
还有附件中的这个文档
blackbug 发表于 2024-6-12 19:19
安全报告里就写存在这个漏洞,详见:
https://owasp.org/www-project-we ... st_Header_Injection
收到,我们研究之后尽快给您答复。 blackbug 发表于 2024-6-12 19:19
安全报告里就写存在这个漏洞,详见:
https://owasp.org/www-project-we ... st_Header_Injection
根据附件中的两种方案,可以尝试方案一,配置一个无用的虚拟主机,将不符预期的host头的请求导入这个虚拟主机处理即可解决这个安全风险。
页:
[1]