找回密码
 立即注册

QQ登录

只需一步,快速开始

blackbug

注册会员

4

主题

12

帖子

36

积分

注册会员

积分
36
最新发帖
blackbug
注册会员   /  发表于:2024-6-12 18:45  /   查看:793  /  回复:5
我司网络部门反馈,我司使用的BI软件wyn,版本7.0.00351.0,进行安全攻击演练时发现存在以下问题:
漏洞名称:Host头攻击 安全漏洞

漏洞类型:web漏洞
漏洞等级:中危
漏洞危害:可能导致HTML注入,XSS漏洞等。
解决方案:参见《Host头攻击 安全漏洞-修复方案》
参考资料:https://owasp.org/www-project-we ... st_Header_Injection
请产品方协助处理。

5 个回复

倒序浏览
lucas.Yan
超级版主   /  发表于:2024-6-12 18:56:33
沙发
您好,方便提供一下这个安全漏洞的安全报告吗?我这边向产品反馈一下,尽快解决这个问题。
回复 使用道具 举报
blackbug
注册会员   /  发表于:2024-6-12 18:59:57
板凳
lucas.Yan 发表于 2024-6-12 18:56
您好,方便提供一下这个安全漏洞的安全报告吗?我这边向产品反馈一下,尽快解决这个问题。

我看了一下报告的内容,报告里有我们其它业务系统的敏感信息,可能不太方便给全报告内容。
回复 使用道具 举报
blackbug
注册会员   /  发表于:2024-6-12 19:19:25
地板
本帖最后由 blackbug 于 2024-6-12 19:22 编辑
blackbug 发表于 2024-6-12 18:59
我看了一下报告的内容,报告里有我们其它业务系统的敏感信息,可能不太方便给全报告内容。

安全报告里就写存在这个漏洞,详见:
https://owasp.org/www-project-we ... st_Header_Injection

还有附件中的这个文档
Host头攻击 安全漏洞.pdf (338.18 KB, 下载次数: 238)
回复 使用道具 举报
lucas.Yan
超级版主   /  发表于:2024-6-13 09:15:52
5#
blackbug 发表于 2024-6-12 19:19
安全报告里就写存在这个漏洞,详见:
https://owasp.org/www-project-we ... st_Header_Injection

收到,我们研究之后尽快给您答复。
回复 使用道具 举报
lucas.Yan
超级版主   /  发表于:2024-6-13 13:40:52
6#
blackbug 发表于 2024-6-12 19:19
安全报告里就写存在这个漏洞,详见:
https://owasp.org/www-project-we ... st_Header_Injection

根据附件中的两种方案,可以尝试方案一,配置一个无用的虚拟主机,将不符预期的host头的请求导入这个虚拟主机处理即可解决这个安全风险。
回复 使用道具 举报
高级模式
B Color Image Link Quote Code Smilies
返回顶部