即时通讯试图处理这种可能的利用和想知道什么是最好的方式来做到这一点?我应该使用apache的通用验证器并创建一个已知允许的符号列表并使用它?HTTP响应分裂
Q
HTTP响应分裂
1
A
回答
1
通用的解决方案是URL编码字符串包含HTTP头,如位置或设置Cookie之前。
卫生处理的典型示例包括转换为整数或积极的正则表达式替换。值得注意的是,虽然这不是一个PHP特定的问题,但PHP解释器自4.4.2版和5.1.2版起包含针对此攻击的防护。
编辑
IM捆绑到使用JSP与Java的行动!
似乎没有成为此攻击媒介的任何基于JSP的保护 - 在网络上许多描述假定ASP或PHP,但this link描述了一个相当平台无关的方式来解决这个问题(JSP作为它是一个偶然的例子)。
基本上,您的第一步是识别潜在的危险字符(CR,LF等),然后将其删除。我担心这是一个强大的解决方案,你可以期待!
解
验证输入。在将数据嵌入任何HTTP响应标头之前删除CR和LF(以及所有其他危险字符),特别是在设置Cookie和重定向时。可以使用第三方产品来抵御CR/LF注入,并在应用程序部署之前测试是否存在此类安全漏洞。
0
Use PHP? ;)
根据维基百科和PHP CHANGELOG的说法,PHP自从4.4.2和PHP5开始就在PHP4中对它进行了保护,从5.1.2开始。
只能撇去它 - 但是,this might help。他的例子是用JSP编写的。
0
OK,阅读时字符串,也使用正则表达式在每艘临危从浏览器中输入可以是凌乱的动作,即时寻找一个更强大的解决方案
相关问题
- 1. 不能分裂Http响应
- 2. JQuery的分裂Ajax响应HTML问题
- 3. POST HTTP响应
- 4. Controling HTTP响应
- 5. 在HTTP响应
- 6. 响应HTTP POST
- 7. GET HTTP响应
- 8. 如何将http响应分成块?
- 9. Java:接收多部分HTTP响应
- 10. 如何快速分析HTTP Post响应
- 11. 使用BIO_read时的部分HTTP响应
- 12. Http keep-alive conncetion - 响应分隔符
- 13. 在响应Div分裂50%全高度图像
- 14. 操纵HTTP响应
- 15. HTTP响应问题
- 16. WCF HTTP 204响应
- 17. 处置HTTP响应
- 18. HTTP响应Accept头
- 19. AngularJs HTTP GET响应
- 20. http响应消息
- 21. HTTP响应异步大型响应
- 22. 响应头和非HTTP数据的HTTP分离
- 23. akka-http发送连续分块http响应(流)
- 24. 分裂
- 25. 分裂
- 26. 响应消息:非HTTP响应消息:无协议:响应代码:非HTTP响应代码:java.net.MalformedURLException
- 27. Ruby分割和解析批量HTTP响应(多部分/混合)
- 28. utf8中的HTTP HTTP服务器响应
- 29. 带出HTTP请求的HTTP响应
- 30. Http GET响应时间
>>删除CR和LF类以及铸造为int是没有多大用处(和所有其他危险字符)<<是否有任何OWASP实用程序/库来执行此操作? – yathirigan 2015-11-17 10:37:22