Puedo inyectar la carga útil de JavaScript en el encabezado HOST, una solicitud se verá así:
Host: <script>alert(document.cookie)</script>
User-Agent: Mozilla/5.0 Gecko/20100101 Firefox/29.0
La cookie se alertó sin problemas.
Mi pregunta es: ¿esto es explotable? ¿O es un Self-XSS porque no sé cómo enviar a la víctima un encabezado HOST específico?
Los encabezados HTTP son como cualquier otro dato de usuario, y deben ser limpiados por aplicaciones web.
Usted podría ser capaz de usarlo para XSS usted mismo cuando visite un tipo de sitio web "Whats My IP" que muestra este tipo de información, si los desarrolladores que asumieron que los encabezados HTTP están bien pueden enviar a la usuario.
Lo he visto en una aplicación web para ver los registros del tráfico del servidor. Por lo tanto, si puede encontrar una aplicación que almacene los encabezados HTTP, y es lo suficientemente estúpido como para devolverlos en HTML sin personalizar, y se muestran a alguien que no sea quien envió los encabezados. entonces sí, es explotable. Pero, de nuevo, esto es como cualquier otro dato del usuario.
El escape / codificación incorrectos (que en este caso conduce a una vulnerabilidad XSS) podrían ser explotados. La principal condición que debe ocurrir es el manejo inadecuado de la caché HTTP.
Si la aplicación web probada es vulnerable al envenenamiento de la memoria caché HTTP, entonces puedes explotar tu búsqueda de XSS.
Más información. sobre el envenenamiento de la caché HTTP se puede encontrar aquí
Lea otras preguntas en las etiquetas xss