Potenziale attacco di intestazione HTTP Host da IP dannoso, cosa significa in termini pratici per me? Dovrei essere preoccupato?

Question

Potenziale attacco di intestazione HTTP Host da IP dannoso, cosa significa in termini pratici per me? Dovrei essere preoccupato?

#1 da (4 voti)

2

Sto chiedendo di un errore che ho ricevuto alcune volte nel giorno passato, al di fuori del teorico. Mi sto chiedendo cosa potrebbe effettivamente accadere nel mio caso.

L'errore proviene da Sentry, sul mio ubuntu / nginx / uwsgi / Django tramite lo stack AWS Elastic Beanstalk:

Invalid HTTP_HOST header: '54.149.10.254'. You may need to add u'54.149.10.254' to ALLOWED_HOSTS. Exception while resolving variable 'exception_type' in template 'unknown'.

54.149.10.254 è associato a scan-15.shadowserver.org . ALLOWED_HOSTS è lì per prevenire gli attacchi di intestazione dell'host HTTP.

Dovrei essere preoccupato? Cosa sta succedendo qui in termini concreti?

Grazie

defense xss

posta std''OrgnlDave 26.01.2017 - 15:07

fonte

1 risposta

Leggi altre domande sui tag defense xss

Buffer Overflow non ha spazio sufficiente per l'exploit dopo essere stato arrestato Vulnerabilità di injection URL

score 4 · Accepted Answer

Should I be concerned?

Non particolarmente. Sei stato scansionato da una parte non nota conosciuta chiamata ShadowServer. Sono molto aperto sui loro attività e intenti.

Tieni presente che su Internet stai per essere scansionato. Un sacco. Da molte persone che sono completamente maliziose. Mentre alcuni possono avere legittime preoccupazioni riguardo a 'scan vigilantes' come Shadowserver, Shadowserver è sicuramente più favorevole di un sacco di altro traffico che puoi aspettarti di ricevere.

What is going on here in concrete terms?

Si connettono al tuo server web e inviano una richiesta usando un'intestazione Host: non corrispondente al tuo sito reale, ma in realtà corrisponde al loro IP. Ci sono vari modi in cui l'intestazione dell'host può essere utilizzata in modo improprio ; Shadowserver sta cercando IP vulnerabili. Data la loro missione, probabilmente stanno cercando server web che possano essere ingannati nell'invio o nel reindirizzamento del traffico verso [l'IP che hanno usato nell'Host: intestazione], il che indicherebbe che quei server web possono essere abusati in un attacco di amplificazione.

Il fatto che il tuo server riporti Invalid HTTP_HOST header mi porta a credere che rifiuti correttamente le connessioni che non contengono un'intestazione Host: valida per il tuo sito. Bel lavoro.