问题描述
A 有一个 Django 应用程序,使用名为 ALLOWED_HOSTS 的内置设置将请求主机标头列入白名单。这是必需的,因为 Django 在某些情况下使用客户端提供的 Host 标头来构造 URL。
ALLOWED_HOSTS=djangoapp.com,subdomain.djangoapp.com
我向 Django 端点 fakehost.com
发出了 10 个带有虚假主机标头(我们称之为 /example
)的请求。
curl -i -s -k -X $'GET' \
-H $'Host: fakehost.com' -H $'Accept-Encoding: gzip,deflate' -H $'Accept: */*' -H $'Accept-Language: en' -H $'User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML,like Gecko) Chrome/87.0.4280.88 Safari/537.36' -H $'Connection: close' \
$'https://subdomain.djangoapp.com/example'
在应用程序日志中,我看到 django.security.disallowedHost
错误出现了十次。但是,根据fakehost.com
的日志,它确实收到了一个/example
的请求。
据我所知,这是一个服务器端请求伪造 (SSRF) 漏洞,因为 Django 服务器可以向任意 URL 发出请求。
它使调试变得困难,而且问题不会一直发生,这很奇怪。同样奇怪的是,假主机似乎被 Django 识别了,但是一个请求仍然以某种方式到达了 fakehost.com
。
有没有人知道我可以进一步调查以修复这个 Django 应用程序中的明显漏洞?问题可能出在服务器级别而不是应用程序级别?
解决方法
暂无找到可以解决该程序问题的有效方法,小编努力寻找整理中!
如果你已经找到好的解决方法,欢迎将解决方案带上本链接一起发送给小编。
小编邮箱:dio#foxmail.com (将#修改为@)