CONF07_Absence de protection contre les attaques par injection d entete “Host”

<html xmlns:v="urn:schemas-microsoft-com:vml"
xmlns:o="urn:schemas-microsoft-com:office:office"
xmlns:x="urn:schemas-microsoft-com:office:excel"
xmlns="http://www.w3.org/TR/REC-html40">

<head>

<meta name=ProgId content=Excel.Sheet>
<meta name=Generator content="Microsoft Excel 15">
<link id=Main-File rel=Main-File
href="file:///C:/Users/GERARDcl/AppData/Local/Temp/msohtmlclip1/01/clip.htm">
<link rel=File-List
href="file:///C:/Users/GERARDcl/AppData/Local/Temp/msohtmlclip1/01/clip_filelist.xml">

</head>

<body link="#0563C1" vlink="#954F72">


Priorité   de mise en œuvre | Complexité de   mise en œuvre
-- | --
LONG TERME | SIMPLE



</body>

</html>



### Constat
Le serveur ne met pas en place de mesure de protection contre les attaques par injection d’entête “Host”. Le serveur répond à toutes les requêtes même si le nom de l’entête “Host” est arbitraire.

### Risque
Un attaquant pourrait exploiter l’absence d’une telle protection afin de réaliser une attaque par empoisonnement de cache ou encore faire réaliser des requêtes arbitraires par le serveur (SSRF). La possibilité de réaliser de telles attaques est très dépendant des fonctionnalités de l’application servie par Nginx.

# Tasks
- [ ] mettre en place une validation de l’entête “Host” en utilisant la directive “server_name”, tel que défini dans le rapport détaillé.

Provide feedback

Saved searches

Use saved searches to filter your results more quickly

Uh oh!

CONF07_Absence de protection contre les attaques par injection d entete “Host” #409

Constat

Risque

Tasks

Metadata

Assignees

Labels

Type

Projects

Milestone

Relationships

Development

CONF07_Absence de protection contre les attaques par injection d entete “Host” #409

Description

Constat

Risque

Tasks

Metadata

Metadata

Assignees

Labels

Type

Projects

Milestone

Relationships

Development

Issue actions