不適切な入力処理攻撃を防ぐためのTomcat仮想ホスト

Question

私は現在、サイトの脆弱性を修正しようとしていますが、基本的に「不適切な入力処理」攻撃の1つです。

のは、私のウェブサイトは、www.mywebsite.com ありましょうし、ハッカーのウェブサイトがあるwww.hacker.com要求が変更されてwww.mywebsite.comに送信があるたびに

」 Host "のヘッダーを指してwww.hacker.comにリンクすると、私のサイトはURLが何であってもwww.mywebsite.comにリダイレクトされます。例：

ノーマル：

Host: www.mywebsite.com 
GET www.mywebsite.com/get/some/resources/ 
Reponse 200 ok 

ハック：

Host: www.hacker.com (#been manually modified) 
GET www.mywebsite.com/get/some/resources/ 
Response 302 
Send another Redirect to www.hacker.com/get/some/resources 

としdefaultlocalhostに未知のホスト時点での仮想ホストを設定して私のウェブサイトにTomcat 7で実行されて、私はいくつかの解決策を試してみました何もしない。何らかの理由で依然としてリダイレクトを送信します。

はここに添付私server.xmlホストの設定です：

<Engine name="Catalina" defaultHost="defaultlocalhost" jvmRoute="jvm1"> 
<Host name="www.mywebsite.com" appBase="webapps" 
     unpackWARs="true" autoDeploy="false" deployOnStartup="true"> 

    <Valve className="org.apache.catalina.valves.AccessLogValve" directory="logs" 
      prefix="localhost_access_log." suffix=".txt" 
      pattern="%h %l %u %t &quot;%r&quot; %s %b" /> 
    </Host> 

    <Host name="defaultlocalhost" > 

    </Host> 

だから、私の質問は、この種の攻撃を防ぐために、正しい軌道に乗って、アムIですか？はいの場合、私は何が間違っていますが、まだ動作していないのですか？ （最終的な目標は、渡された正当なホストでない場合、リクエストは破棄/無視/ 404を返しますが、302でリダイレクトする必要はありません）

ありがとうございます。ここでの攻撃に関する

詳細参照： http://www.skeletonscribe.net/2013/05/practical-http-host-header-attacks.html

http://projects.webappsec.org/w/page/13246933/Improper%20Input%20Handling

Answer 1

まあ、エンドまでは自分の質問に答えます。

Tomcatユーザーメーリングリストに参加した後（subscribe電子メールアドレス：users@tomcat.apache.org）。不正なリクエストが送信されたときは常に成功した404件のステータスを返さ

を、私は私のdefaultlocalhost

<Host name="defaultlocalhost" appbase="whatever" > 

    </Host> 

上記のconfigureでappBaseが欠落している間違っていた基本的にはどのような： 私は、これが解決し得る助けたアンドレという名前の男があります。その理由は、appbaseを設定しないときはいつも、常にデフォルトのwebappsになるので、元の設定では基本的に何もしませんでした。

これは、似たような問題を抱えている人を助けることを期待しています。