Django Bad Practices: Overly Broad Host Header Verification

如果不驗證 Host 表頭，攻擊者便可傳送虛假的 Host 值，此值可用於跨網站偽造要求、快取破壞攻擊，以及電子郵件中的破壞連結。

Django 應用程式設定指定 "*" 做為 ALLOWED_HOSTS 設定中的項目。django.http.HttpRequest.get_host() 使用此設定來驗證 Host 表頭。值 "*" 將允許在 Host 表頭中使用任何主機。攻擊者可能將此用於發起快取破壞攻擊，或用於電子郵件中的破壞連結。

範例 1：應用程式提供重設密碼功能，讓使用者能夠提交某種唯一值來識別自己 (例如：電子郵件地址)，然後程式會傳送密碼重設電子郵件，內含用於設定新密碼的頁面連結。傳送給使用者的連結可以使用 Host 值進行建構，以參照執行重設密碼功能的網站，從而避免硬式編碼的 URL。例如：

...
def reset_password(request):
  url = "http://%s/new_password/?token=%s" % (request.get_host(), generate_token())
  send_email(reset_link=url)
  redirect("home")
...

攻擊者可能會透過提交受害者的電子郵件以及指向所控制伺服器的虛假 Host 表頭值，來重設受害者的密碼。受害者將收到一封電子郵件，內含重設密碼系統的連結，如果受害者決定造訪該連結，其將會造訪由攻擊者控制的網站，網站上將執行虛假表單以收集受害者的憑證。