请求URL覆盖

描述：请求URL覆盖

一些应用程序和框架支持可用于覆盖请求URL的一部分的HTTP标头，可能会影响请求的路由和处理。

中间系统通常不理会这些标题。对于反向代理和Web应用程序防火墙，这可能会导致安全规则集被绕过。beplay体育能用吗如果有缓存系统，则可能会导致缓存中毒攻击。这些标头还可以实现日志条目的锻造。

即使打算直接访问该应用程序，一些访问者也可能会使用企业代理，从而实现局部缓存中毒。

修复：请求URL覆盖

要充分解决此问题，请找到处理受影响的标头的组件，并完全禁用。如果您使用的是框架，则应用任何待处理的安全更新可能会为您执行此操作。

如果这不实用，则替代解决方法是配置中间系统，以在处理后的标头之前自动剥离。

参考

• beplay体育能用吗网络安全学院：HTTP主机标头攻击
• beplay体育能用吗网络安全学院：网络缓存中毒
• 实用的网络缓存中毒beplay体育能用吗

脆弱性分类

• CWE-436：解释冲突
• CAPEC-141：缓存中毒

典型的严重程度

信息

类型索引（HEX）

0x00400f00

类型索引（十进制）

4198144