Django Bad Practices: Overly Broad Host Header Verification

Si no se valida el encabezado de Host se puede permitir que un usuario malintencionado envíe un valor de Host falso que se puede utilizar para falsificación de solicitud de Cross-Site Scripting, ataques de envenenamiento de caché y envenenamiento de vínculos en correos electrónicos.

La configuración de las aplicaciones de Django especifica "*" como una entrada en la configuración de ALLOWED_HOSTS. django.http.HttpRequest.get_host() utiliza esta configuración para validar el encabezado de Host. Un valor de "*" permitirá cualquier host en el encabezado de Host. Un atacante podría utilizar esto en ataques de envenenamiento de caché o para el envenenamiento de vínculos en correos electrónicos.

Ejemplo 1: Una aplicación ofrece una función para restablecer contraseñas donde los usuarios pueden enviar algún tipo de valor único para identificarse (por ej.: dirección de correo electrónico) y luego se enviará un correo electrónico para restablecer la contraseña con un vínculo a una página para establecer una contraseña nueva. El vínculo enviado al usuario se puede construir con el valor de Host para hacer referencia al sitio que facilita la función para restablecer la contraseña a fin de evitar direcciones URL con codificación rígida. Por ejemplo:

...
def reset_password(request):
  url = "http://%s/new_password/?token=%s" % (request.get_host(), generate_token())
  send_email(reset_link=url)
  redirect("home")
...

Un atacante podría intentar restablecer la contraseña de una víctima enviando el correo electrónico de la víctima y un valor de encabezado de Host falso que señale un servidor que controla. La víctima recibirá un correo electrónico con un vínculo al sistema para restablecer contraseñas y si decide visitar el vínculo, estará visitando el sitio controlado por el usuario malintencionado que facilitará un formulario falso para recopilar las credenciales de la víctima.