OpenCVE 2.0 Webhook 请求头缺失问题分析与修复方案

问题背景

OpenCVE 是一个开源的漏洞信息管理平台，它提供了 Webhook 功能用于实时推送漏洞变更通知。在 OpenCVE 2.0 版本中，用户发现了一个关键问题：虽然在 Webhook 配置界面可以设置自定义请求头（如 X-Token），但这些请求头在实际请求中并未被正确发送。

问题现象

当用户配置了如下请求头：

{
    "Content-Type": "application/json",
    "X-Token": "xxxxx"
}

实际发送的请求中却缺失了 X-Token 头：

{
    "headers": {
        "Host": "172.31.4.66:5000",
        "Accept": "*/*",
        "Content-Type": "application/json"
        // X-Token 缺失
    }
}

技术分析

通过查看 OpenCVE 2.0 的源代码，发现问题出在 scheduler/dags/includes/notifiers.py 文件中的 WebhookNotifier 类实现上。该类负责处理 Webhook 通知的发送逻辑，但存在两个关键缺陷：

1. 初始化方法缺陷：在 __init__ 方法中，虽然从配置中获取了 URL，但没有获取 headers 配置
2. 请求发送缺陷：在发送 POST 请求时，没有将 headers 参数传递给 aiohttp 的 session.post 方法

解决方案

修复方案需要修改 WebhookNotifier 类的实现：

1. 初始化 headers：在 __init__ 方法中添加 headers 的初始化

self.headers = self.config.get("extras").get("headers")

2. 传递 headers 参数：在发送请求时添加 headers 参数

async with self.session.post(
    self.url,
    json=self.prepare_payload(),
    timeout=self.request_timeout,
    headers=self.headers,  # 添加这行
) as response:

修复验证

用户可以通过以下步骤验证修复效果：

1. 创建一个简单的 Flask Webhook 接收服务
2. 在 OpenCVE 中配置 Webhook 并添加自定义请求头
3. 触发一个漏洞变更通知
4. 检查接收到的请求头是否包含配置的自定义头

技术延伸

这个问题反映了 Webhook 实现中常见的几个注意事项：

1. 配置完整性检查：所有可配置参数都应该在初始化时正确处理
2. 请求构造完整性：HTTP 请求的所有必要部分（URL、方法、头、体）都应该正确构造
3. 向后兼容性：对于可选参数（如 headers），应该处理 None 值的情况

最佳实践建议

1. 在 Webhook 实现中添加参数验证逻辑
2. 考虑添加默认请求头（如 User-Agent）
3. 实现请求重试机制，特别是对于认证头（如 X-Token）失败的情况
4. 添加详细的日志记录，便于调试类似问题

总结

OpenCVE 2.0 中的 Webhook 请求头缺失问题虽然修复简单，但反映了配置参数传递完整性的重要性。通过这个案例，开发者可以学习到在实现类似功能时，需要确保所有可配置参数都能正确地从配置界面传递到实际请求构造环节。