Предотвращение атак заголовка HTTP-узла в Azure

Question

Предотвращение атак заголовка HTTP-узла в Azure

Согласно отчету Whitehat Security, в нем говорится, что существует уязвимость в заголовках запросов Host или X-Forwarded-Host при сборке нашего сайта с использованием Kentico и размещенной в Azure.

Как мы предотвращаем этот тип атак в Azure (у нас есть шлюз и WAF в Azure)

0

azure security kentico azure-security

Источник

user1377857 02 ноя '18 в 08:44

1 ответ

Другие вопросы по тегам azure security kentico azure-security

user6790715 02 ноя '18 в 11:31 2018-11-02 11:31 · Answer 1 · 2018-11-02 11:31

Один только Kentico вообще не обрабатывает заголовок хоста и никак не использует его. Эта проблема, похоже, обостряется в конфигурации Azure. По своему опыту я столкнулся с этой проблемой, когда установил пустую привязку на сервере IIS и IIS принял заголовок узла.

Кажется, что Azure допускает пустые имена хостов (или подстановочные знаки из-за установки нескольких арендаторов):

https://docs.microsoft.com/en-us/azure/application-gateway/application-gateway-web-app-overview https://docs.microsoft.com/en-us/azure/application-gateway/multiple-site-overview

Это могут быть те, которые отражают заголовок хоста, и вам необходимо убедиться, что шлюзу и приложению задано правильное имя хоста, а заголовок хоста будет просто проигнорирован.