A 有一个 Django 应用程序，使用名为 ALLOWED_HOSTS 的内置设置将请求主机标头列入白名单。这是必需的，因为 Django 在某些情况下使用客户端提供的 Host 标头来构造 URL。

ALLOWED_HOSTS=djangoapp.com,subdomain.djangoapp.com

我向 Django 端点 fakehost.com 发出了 10 个带有虚假主机标头（我们称之为 /example）的请求。

curl -i -s -k -X $'GET' \
    -H $'Host: fakehost.com' -H $'Accept-Encoding: gzip,deflate' -H $'Accept: */*' -H $'Accept-Language: en' -H $'User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML,like Gecko) Chrome/87.0.4280.88 Safari/537.36' -H $'Connection: close' \
    $'https://subdomain.djangoapp.com/example'

在应用程序日志中，我看到 django.security.disallowedHost 错误出现了十次。但是，根据fakehost.com的日志，它确实收到了一个/example的请求。

据我所知，这是一个服务器端请求伪造 (SSRF) 漏洞，因为 Django 服务器可以向任意 URL 发出请求。

它使调试变得困难，而且问题不会一直发生，这很奇怪。同样奇怪的是，假主机似乎被 Django 识别了，但是一个请求仍然以某种方式到达了 fakehost.com。

有没有人知道我可以进一步调查以修复这个 Django 应用程序中的明显漏洞？问题可能出在服务器级别而不是应用程序级别？

解决方法

暂无找到可以解决该程序问题的有效方法，小编努力寻找整理中！

如果你已经找到好的解决方法，欢迎将解决方案带上本链接一起发送给小编。

小编邮箱:dio#foxmail.com (将#修改为@）