漏洞描述

使用HTTP代理工具,如BurpSuite篡改HTTP报文头部中HOST字段时,客户端提交的HOST值,该值可被注入恶意代码。

漏洞等级

修复建议

不要使用类似JSP中request.getServerName()的方法引用客户端输入的host值。直接拼接生成URL时引用静态变量定义的服务器域名,或者使用相对路径生成URL。