Уязвимость в заголовке заголовка web2py

Question

Забудьте пароль и код проверки пользователя имеет уязвимость заголовка узла.

Атакующий может генерировать верификацию пользователя и запрос сброса пароля с сервера, включая его собственный домен.

Это их лучший выход?

https://github.com/web2py/web2py/issues/1196

Answer 1

Я вижу решение проблем в качестве подхода с множественной развязкой.

Apache выступает в качестве хранителя ворот. Что если правильно настроить, можно ограничить анонимные заголовки хостов, перенаправленные в приложение. (все еще не уверены в отношении вложений в кэш)

Хотя анонимные заголовки хостов в Интернете могут не иметь угрозы для приложения в сценарии https.

, но автономный запрос, такой как пароль для отправки пароля. Запрос на сброс эл. Почты дает большую угрозу. Поскольку злоумышленник может запросить сброс пароля по электронной почте с помощью анонимных заголовков хостов домена. Затем, если фактический пользователь нажимает ссылку на сброс пароля. Злоумышленник получит код сброса.

Теперь приложение опирается на заголовки хостов, направляемые Apache для создания автономного ответа. Этого не должно быть (apache должен нести ответственность за онлайн-трафик). Таким образом, приложение должно иметь собственный механизм для настройки имени домена и создания автономных ответов.

Answer 2

Ну, как было упомянуто в вопросе, заголовок Host должен быть установлен на сервере, а не объект запроса.

В этом случае у вас может быть виртуальный хост (vhost), который поймает любые запросы, которые используют непризнанное имя хоста. Реализация варьируется в зависимости от веб-сервера, однако вы можете просмотреть ссылки о том, как это сделать на Nginx и Apache.

Дополнительную информацию о атаках заголовков хостов можно найти here.