Exploiter la fonction de redirection HTTP via l'en-tête Host

C'est une vieille question, mais par souci d'exhaustivité, je vais ajouter quelques réflexions.

La référence en terme d'attaque des en-têtes d'hôtes est Attaques d'en-tête d'hôte pratiques (2013) et est toujours valide.

Les attaquants utiliseraient certainement l'astuce absolu-uri pour injecter le mauvais en-tête et être sûr d'atteindre le bon hôte virtuel. Mais dans certains cas, cela n'est même pas requis (comme cela peut être dans votre application actuelle, où toute demande avec un en-tête Host est acceptée étant donné que le HTTP la requête est faite sur la bonne IP)

# instead of
  GET /uri HTTP/1.1
  Host: good.name.com
# they would use
  GET http://good.name.com/uri HTTP/1.1
  Host: evil.com

Et cela pourrait être exploité principalement de 3 façons (principalement, mais c'est ouvert à plus d'idées):

• empoisonnement du cache : si votre application alimente la page avec un domaine extrait de la demande (lors de la reconstruction des URL absolues en liens HTML), il y a peut-être une chance que ces les mauvais domaines se terminent dans la version en cache de la page pour /uri. Assez difficile à réaliser (le cache peut finir par mettre en cache la page en tant que http://good.name.com/uri et pas /uri.
• mauvais liens dans les e-mails : supposons que votre application envoie un lien unique de réinitialisation de mot de passe, avec l'URL tirée de l'en-tête de l'hôte, alors l'attaquant pourrait espérer que quelqu'un clique sur le lien avec le domaine evil.com. Mais cela signifie que quelqu'un clique sur un lien e-mail de réinitialisation du mot de passe sans demander de réinitialisation du mot de passe (car l'attaquant a effectué la mauvaise requête)
• Injection CRLF , comme avec tous les en-têtes injectés, un objectif pourrait être d'obtenir une réponse où une très mauvaise entrée Host (contenant CRLF, ou %0a%D, c'est "\ r\n") serait réutilisé sans filtrage sur les en-têtes de réponse. Menant à l'injection d'en-têtes dans la réponse.

Comme l'a noté @Steffen Ullrich, il n'y a aucun moyen de conduire un utilisateur innocent à effectuer l'attaque (en particulier parce que le navigateur utilise la résolution DNS du nom d'hôte pour trouver l'IP du serveur Web). Donc la seule victime semble pour être l'attaquant . Mais de toute façon, la cible d'attaque est asynchrone. Ce n'est pas comme une attaque XSS, la cible n'est pas l'utilisateur qui reçoit la réponse. Dans l'empoisonnement du cache, c'est assez évident (la cible est le cache), dans le courrier électronique de réinitialisation du mot de passe est utilisé pour porter l'attaque à la victime, et dans l'injection CRLF, nous entrons le fractionnement de la réponse HTTP et Zone de contrebande HTTP , où les conséquences sont assez délicates, mais elles peuvent entraîner un empoisonnement du cache, un déni de service, un empoisonnement de socket, incomplet requêtes, etc. La cible est un proxy inverse, et l'attaque sera ensuite étendue à d'autres utilisateurs via ce proxy.