0

根据 Whitehat 安全报告,我们使用 Kentico 构建并托管在 Azure 中的站点上的 Host 或 X-Forwarded-Host 请求标头存在漏洞

我们如何在 Azure 中防止此类攻击(我们在 azure 中有网关和 WAF)

4

1 回答 1

0

单独的 Kentico 根本不处理主机头,也不会以任何方式使用它。这个问题似乎与 Azure 配置有关。根据我的经验,当我在 IIS 服务器上设置空绑定并且 IIS 接受主机标头时,我遇到了这个问题。

Azure 似乎允许空主机名(或由于多租户设置而导致的通配符):

https://docs.microsoft.com/en-us/azure/application-gateway/application-gateway-web-app-overview https://docs.microsoft.com/en-us/azure/application-gateway/multiple -网站概述

可能是这些反映了主机标头,您需要确保将网关和应用程序设置为正确的主机名,而主机标头将被忽略。

于 2018-11-02T11:31:12.163 回答