7.0.00351.0安全漏洞"Host头攻击"的反馈

我司网络部门反馈，我司使用的BI软件wyn，版本7.0.00351.0，进行安全攻击演练时发现存在以下问题：
漏洞名称：Host头攻击 安全漏洞

漏洞类型：web漏洞
漏洞等级：中危
漏洞危害：可能导致HTML注入，XSS漏洞等。
解决方案：参见《Host头攻击 安全漏洞-修复方案》
参考资料：https://owasp.org/www-project-we ... st_Header_Injection
请产品方协助处理。

您好，方便提供一下这个安全漏洞的安全报告吗？我这边向产品反馈一下，尽快解决这个问题。

lucas.Yan 发表于 2024-6-12 18:56
您好，方便提供一下这个安全漏洞的安全报告吗？我这边向产品反馈一下，尽快解决这个问题。

我看了一下报告的内容，报告里有我们其它业务系统的敏感信息，可能不太方便给全报告内容。

blackbug 发表于 2024-6-12 18:59
我看了一下报告的内容，报告里有我们其它业务系统的敏感信息，可能不太方便给全报告内容。

安全报告里就写存在这个漏洞，详见：
https://owasp.org/www-project-we ... st_Header_Injection

还有附件中的这个文档

Host头攻击 安全漏洞.pdf (338.18 KB, 下载次数: 4) 2024-6-12 19:22 上传 点击文件名下载附件

blackbug 发表于 2024-6-12 19:19
安全报告里就写存在这个漏洞，详见：
https://owasp.org/www-project-we ... st_Header_Injection

收到，我们研究之后尽快给您答复。

blackbug 发表于 2024-6-12 19:19
安全报告里就写存在这个漏洞，详见：
https://owasp.org/www-project-we ... st_Header_Injection

根据附件中的两种方案，可以尝试方案一，配置一个无用的虚拟主机，将不符预期的host头的请求导入这个虚拟主机处理即可解决这个安全风险。