即时通讯试图处理这种可能的利用和想知道什么是最好的方式来做到这一点?我应该使用apache的通用验证器并创建一个已知允许的符号列表并使用它?HTTP响应分裂
Q
HTTP响应分裂
1
A
回答
1
通用的解决方案是URL编码字符串包含HTTP头,如位置或设置Cookie之前。
卫生处理的典型示例包括转换为整数或积极的正则表达式替换。值得注意的是,虽然这不是一个PHP特定的问题,但PHP解释器自4.4.2版和5.1.2版起包含针对此攻击的防护。
编辑
IM捆绑到使用JSP与Java的行动!
似乎没有成为此攻击媒介的任何基于JSP的保护 - 在网络上许多描述假定ASP或PHP,但this link描述了一个相当平台无关的方式来解决这个问题(JSP作为它是一个偶然的例子)。
基本上,您的第一步是识别潜在的危险字符(CR,LF等),然后将其删除。我担心这是一个强大的解决方案,你可以期待!
解
验证输入。在将数据嵌入任何HTTP响应标头之前删除CR和LF(以及所有其他危险字符),特别是在设置Cookie和重定向时。可以使用第三方产品来抵御CR/LF注入,并在应用程序部署之前测试是否存在此类安全漏洞。
0
Use PHP? ;)
根据维基百科和PHP CHANGELOG的说法,PHP自从4.4.2和PHP5开始就在PHP4中对它进行了保护,从5.1.2开始。
只能撇去它 - 但是,this might help。他的例子是用JSP编写的。
0
OK,阅读时字符串,也使用正则表达式在每艘临危从浏览器中输入可以是凌乱的动作,即时寻找一个更强大的解决方案
相关问题
- 1. 不能分裂Http响应
- 2. 阻止HTTP响应分裂攻击
- 3. perl中的HTTP响应分裂攻击防范
- 4. Rails 3中分裂的响应
- 5. JQuery的分裂Ajax响应HTML问题
- 6. 在分裂响应做一个形象
- 7. 13355人物后JSON响应分裂
- 8. 解析分块HTTP响应
- 9. http请求部分响应
- 10. XMLHTTPRequest的过滤器实现/ Http响应的响应案例分裂安全问题
- 11. 在HTTP响应
- 12. VB.NET http响应
- 13. GET HTTP响应
- 14. 响应HTTP POST
- 15. Controling HTTP响应
- 16. 如何划分大Http响应
- 17. 使用BIO_read时的部分HTTP响应
- 18. HTTP请求获取部分响应
- 19. Http keep-alive conncetion - 响应分隔符
- 20. 如何快速分析HTTP Post响应
- 21. Java:接收多部分HTTP响应
- 22. 如何将http响应分成块?
- 23. http多部分响应和边界
- 24. Python:分裂和分裂
- 25. 在响应Div分裂50%全高度图像
- 26. 双重分裂服务器响应返回不正确
- 27. OpenGL:细胞分裂效应
- 28. HTTP响应查询
- 29. HTTP响应对象
- 30. Node.js HTTP响应流
>>删除CR和LF类以及铸造为int是没有多大用处(和所有其他危险字符)<<是否有任何OWASP实用程序/库来执行此操作? – yathirigan 2015-11-17 10:37:22