1
即時通訊試圖處理這種可能的利用和想知道什麼是最好的方式來做到這一點?我應該使用apache的通用驗證器並創建一個已知允許的符號列表並使用它?HTTP響應分裂
Q
HTTP響應分裂
A
回答
1
通用的解決方案是URL編碼字符串包含HTTP頭,如位置或設置Cookie之前。
衛生處理的典型示例包括轉換爲整數或積極的正則表達式替換。值得注意的是,雖然這不是一個PHP特定的問題,但PHP解釋器自4.4.2版和5.1.2版起包含針對此攻擊的防護。
編輯
IM捆綁到使用JSP與Java的行動!
似乎沒有成爲此攻擊媒介的任何基於JSP的保護 - 在網絡上許多描述假定ASP或PHP,但this link描述了一個相當平臺無關的方式來解決這個問題(JSP作爲它是一個偶然的例子)。
基本上,您的第一步是識別潛在的危險字符(CR,LF等),然後將其刪除。我擔心這是一個強大的解決方案,你可以期待!
解
驗證輸入。在將數據嵌入任何HTTP響應標頭之前刪除CR和LF(以及所有其他危險字符),特別是在設置Cookie和重定向時。可以使用第三方產品來抵禦CR/LF注入,並在應用程序部署之前測試是否存在此類安全漏洞。
0
Use PHP? ;)
根據維基百科和PHP CHANGELOG的說法,PHP自從4.4.2和PHP5開始就在PHP4中對它進行了保護,從5.1.2開始。
只能撇去它 - 但是,this might help。他的例子是用JSP編寫的。
0
OK,閱讀時字符串,也使用正則表達式在每艘臨危從瀏覽器中輸入可以是凌亂的動作,即時尋找一個更強大的解決方案
相關問題
- 1. 不能分裂Http響應
- 2. 阻止HTTP響應分裂攻擊
- 3. perl中的HTTP響應分裂攻擊防範
- 4. Rails 3中分裂的響應
- 5. JQuery的分裂Ajax響應HTML問題
- 6. 在分裂響應做一個形象
- 7. 13355人物後JSON響應分裂
- 8. 解析分塊HTTP響應
- 9. http請求部分響應
- 10. XMLHTTPRequest的過濾器實現/ Http響應的響應案例分裂安全問題
- 11. 在HTTP響應
- 12. VB.NET http響應
- 13. GET HTTP響應
- 14. 響應HTTP POST
- 15. Controling HTTP響應
- 16. 如何劃分大Http響應
- 17. 使用BIO_read時的部分HTTP響應
- 18. HTTP請求獲取部分響應
- 19. Http keep-alive conncetion - 響應分隔符
- 20. 如何快速分析HTTP Post響應
- 21. Java:接收多部分HTTP響應
- 22. 如何將http響應分成塊?
- 23. http多部分響應和邊界
- 24. Python:分裂和分裂
- 25. 在響應Div分裂50%全高度圖像
- 26. 雙重分裂服務器響應返回不正確
- 27. OpenGL:細胞分裂效應
- 28. HTTP響應查詢
- 29. HTTP響應對象
- 30. Node.js HTTP響應流
>>刪除CR和LF類以及鑄造爲int是沒有多大用處(和所有其他危險字符)<<是否有任何OWASP實用程序/庫來執行此操作? – yathirigan 2015-11-17 10:37:22