Host Header Injection
Host Header Injection (ін’єкція заголовку хосту) - це атака на веб-додаток, яка дозволяє зловмиснику вплинути на поведінку сервера шляхом зміни хоста в HTTP-запитах.
Давай зобразимо це на прикладі. Якщо ти звертаєшся до сайту за допомогою адреси “www.example.com”, то у заголовку запиту буде вказаний саме цей хост: “Host: www.example.com”. Але атакувач може змінити цей заголовок на інший, наприклад, “Host: www.attackersite.com”. Це може призвести до зміни поведінки сервера і забезпечити зловмиснику доступ до охоплення даних користувача на сайті або навіть до отримання доступу до сайту.
Одним зі способів захисту від цієї атаки є перевірка хоста на сервері. Хост повинен відповідати URL-адресі, за яким його звернулися. Також можна використовувати захист, який забороняє використовувати інші хости, окрім вказаного в конфігурації сервера.