在没有缓存或密码重置的情况下，主机头注入可以吗？

Question

我是一个安全和阅读主机头注入的初学者。我测试了一个应用程序是否存在此漏洞，并且可能存在一些请求，但是开发人员实现了无缓存、无存储标志，并且该漏洞没有密码重置请求。

因此，首先，不会有缓存中毒，其次，它不会发生在密码重置请求。

由于我了解到要利用此漏洞，我将更改主机标头。所以我想知道为什么会是一个漏洞？用户为什么要更改应用程序的主机？攻击者如何利用它呢？

Answer 1

主机头注入的特点是，它允许攻击者控制部分响应。来自阿肯特克斯的伟大文章：

下面的示例中的PHP脚本是主机头的典型且危险的使用。/script.js">攻击者仅通过操作主机头就可以操纵上面的代码以产生以下的\_SERVER输出。<script src="http://attacker.com/script.js"></div></blockquote><div>但是，如果你只是在操纵你自己得到的回应，这并不是非常无用的。毕竟，XSS:你自己也不是那么有趣。您需要更改受害者获得的响应，但不能修改受害者请求的主机标题。该怎么办呢？有两种常见的方式：</div><ul><li><div>缓存中毒:如果从<code>attacker.com</code>加载脚本的响应被缓存在某个服务器上，那么它也会被提供给其他服务器。对啰!</div></li><li><div>密码重置:如果您可以修改在电子邮件中发送的密码重置链接，那么一旦受害者单击密码重置令牌，您就可以窃取密码重置令牌。(请注意，这不是修改HTTP响应，而是服务器发送的电子邮件。)</div></li></ul><div>所以，如果所有这些都不起作用，这是否意味着一切都很好？不怎么有意思。这可能意味着目前还不能利用这一点，至少不是以一种简单的方式，但它仍然是不好的，应该在一份五份报告中加以报告。因为如果有一天有人改变了chache政策，会发生什么？您不希望仅仅是服务器重新配置，而不是被拥有。</div>