English Deutsch Français Nederlands Español Italiano Português Русский 日本語 中文 한국어 हिन्दी తెలుగు मराठी தமிழ் Türkçe Ελληνικά Polski Čeština Magyar Svenska Dansk Suomi العربية Indonesia

Host Header Injection

Host Header Injection (ін’єкція заголовку хосту) - це атака на веб-додаток, яка дозволяє зловмиснику вплинути на поведінку сервера шляхом зміни хоста в HTTP-запитах.

Давай зобразимо це на прикладі. Якщо ти звертаєшся до сайту за допомогою адреси “www.example.com”, то у заголовку запиту буде вказаний саме цей хост: “Host: www.example.com”. Але атакувач може змінити цей заголовок на інший, наприклад, “Host: www.attackersite.com”. Це може призвести до зміни поведінки сервера і забезпечити зловмиснику доступ до охоплення даних користувача на сайті або навіть до отримання доступу до сайту.

Одним зі способів захисту від цієї атаки є перевірка хоста на сервері. Хост повинен відповідати URL-адресі, за яким його звернулися. Також можна використовувати захист, який забороняє використовувати інші хости, окрім вказаного в конфігурації сервера.