如何解决带有假主机头的 Django 服务器端请求伪造
A 有一个 Django 应用程序,使用名为 ALLOWED_HOSTS 的内置设置将请求主机标头列入白名单。这是必需的,因为 Django 在某些情况下使用客户端提供的 Host 标头来构造 URL。
ALLOWED_HOSTS=djangoapp.com,subdomain.djangoapp.com
我向 Django 端点 fakehost.com
发出了 10 个带有虚假主机标头(我们称之为 /example
)的请求。
curl -i -s -k -X $'GET' \
-H $'Host: fakehost.com' -H $'Accept-Encoding: gzip,deflate' -H $'Accept: */*' -H $'Accept-Language: en' -H $'User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML,like Gecko) Chrome/87.0.4280.88 Safari/537.36' -H $'Connection: close' \
$'https://subdomain.djangoapp.com/example'
在应用程序日志中,我看到 django.security.disallowedHost
错误出现了十次。但是,根据fakehost.com
的日志,它确实收到了一个/example
的请求。
据我所知,这是一个服务器端请求伪造 (SSRF) 漏洞,因为 Django 服务器可以向任意 URL 发出请求。
它使调试变得困难,而且问题不会一直发生,这很奇怪。同样奇怪的是,假主机似乎被 Django 识别了,但是一个请求仍然以某种方式到达了 fakehost.com
。
有没有人知道我可以进一步调查以修复这个 Django 应用程序中的明显漏洞?问题可能出在服务器级别而不是应用程序级别?
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。