Вам бонус- начислено 1 монета за дневную активность. Сейчас у вас 1 монета

Разделение HTTP-ответа

Практика



Разделение HTTP-ответов - это форма уязвимости веб-приложения , возникающая из-за того, что приложение или его среда не могут должным образом очистить входные значения. Его можно использовать для выполнения атак с использованием межсайтовых сценариев , кражи между пользователями, отравления веб-кэша и аналогичных эксплойтов .

Атака заключается в результате чего сервера печати возврата каретки (CR, ASCII 0x0D ) перевод строки (LF, ASCII 0x0A ) последовательность с последующим содержанием поставляемого атакующим в заголовке секции своего ответа, как правило , путем включения их в полях ввода отправленных приложение. В соответствии со стандартом HTTP ( RFC 2616 ) заголовки разделены одним CRLF, а заголовки ответа отделены от его тела двумя. Следовательно, неспособность удалить CR и LF позволяет атакующему установить произвольные заголовки, получить контроль над телом или разбить ответ на два или более отдельных ответа - отсюда и название.

Профилактика  

Общее решение заключается в том, чтобы URL-кодировать строки перед включением в заголовки HTTP, такие как Location или Set-Cookie .

Типичные примеры санации включают приведение к целым числам или агрессивную замену регулярных выражений . Хотя разделение ответов не является специфическим для PHP , интерпретатор PHP содержит защиту от атак начиная с версий 4.4.2 и 5.1.2. [

создано: 2020-07-02
обновлено: 2021-03-13
108



Рейтиг 9 of 10. count vote: 2
Вы довольны ?:


Поделиться:

Найди готовое или заработай

С нашими удобными сервисами без комиссии*

Как это работает? | Узнать цену?

Найти исполнителя
$0 / весь год.
  • У вас есть задание, но нет времени его делать
  • Вы хотите найти профессионала для выплнения задания
  • Возможно примерение функции гаранта на сделку
  • Приорететная поддержка
  • идеально подходит для студентов, у которых нет времени для решения заданий
Готовое решение
$0 / весь год.
  • Вы можите продать(исполнителем) или купить(заказчиком) готовое решение
  • Вам предоставят готовое решение
  • Будет предоставлено в минимальные сроки т.к. задание уже готовое
  • Вы получите базовую гарантию 8 дней
  • Вы можете заработать на материалах
  • подходит как для студентов так и для преподавателей
Я исполнитель
$0 / весь год.
  • Вы профессионал своего дела
  • У вас есть опыт и желание зарабатывать
  • Вы хотите помочь в решении задач или написании работ
  • Возможно примерение функции гаранта на сделку
  • подходит для опытных студентов так и для преподавателей

Комментарии


Оставить комментарий
Если у вас есть какое-либо предложение, идея, благодарность или комментарий, не стесняйтесь писать. Мы очень ценим отзывы и рады услышать ваше мнение.
To reply

информационная безопасность - Криптография и Криптоанализ. Стеганография. Защита Информации

Термины: информационная безопасность - Криптография и Криптоанализ. Стеганография. Защита Информации