根据Whitehat Security报告,它说在我们使用Kentico构建并托管在Azure的网站上,主机或X-Forwarded-Host请求标头上存在漏洞
我们如何在Azure中防止此类攻击(我们将网关和WAF置于天蓝色)
答案 0 :(得分:0)
仅Kentico根本不会处理主机头,也不会以任何方式使用它。使用Azure配置似乎会出现此问题。以我的经验,当我在IIS服务器上设置空绑定并且IIS接受了Host Header时,我遇到了这个问题。
Azure似乎允许使用空主机名(或由于多租户设置而导致使用通配符):
https://docs.microsoft.com/en-us/azure/application-gateway/application-gateway-web-app-overview https://docs.microsoft.com/en-us/azure/application-gateway/multiple-site-overview
可能是这些,它们反映了主机头,您需要确保将网关和应用程序设置为正确的主机名,然后才可以忽略主机头。