サイトの脆弱性を修正しようとしています。これは、WhiteHat によって発生した「不適切な入力処理」攻撃です。私のウェブサイトがwww.mywebsite.comで、ハッカーのウェブサイトwww.hacker.comがあるとします。
www.mywebsite.comに変更された "Host" ヘッダー ポイントがwww.hacker.comに送信されるリクエストがある場合はいつでも、私のサイトはwww.mywebsite.comへのリダイレクトを作成し、その URL が何であれ。これを修正するために、Tomcat 仮想ホスト構成の下で試しましたが、それでも他の Web サイトにリダイレクトしています。
<Host name="defaultlocalhost" appbase="whatever">
<!-- allow addresses to these host -->
<Valve className="org.apache.catalina.valves.RemoteAddrValve"
allow=".*\.mywebsite1\.com|.*\.mywebsite2\.com"/>
</Host>
それで、私の質問は、このホストヘッダー攻撃を防ぐための正しいアプローチですか? はいの場合、まだ機能していないのに何が間違っていましたか? (最終的な目標は、渡されたのが正当なホストでない場合、リクエストを破棄/無視/ 404 を返す必要がありますが、302 でリダイレクトしないことです)