Wie funktioniert Header-Injection?
https://stackoverflow.com/questions/1123138
-
13-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianFrage
Ich habe den Abschnitt über Kopf Injektionen lesen, wie hier beschrieben: http://guides.rubyonrails.org /security.html . Aber ich kann nicht durch eine Schritt für Schritt Beispiel dafür in meinem Kopf zu gehen scheinen. Könnte mir jemand Fuß durch ein Beispiel, wie die Referer-Header ausnutzen könnten Probleme in einer Anwendung verursachen?
Lösung
Es ist sehr einfach: Ein böswilliger Benutzer kann zu einer Schwachstelle einzufügen aufgrund in früheren Versionen von Ruby und RoR eine secuence von URL codierten Zeichen „% 0D% 0A“ , die das Äquivalent für „ sind \ r \ n “, die ein Wagenrücklauf und Zeilenvorschub ist.
Auf diese Weise eine neue Zeilen im Header können mit neuen Informationen wie Cookies, Umleitungen, Referer und andere Informationen injiziert werden, die verwendet werden können, die Angreifer zu helfen, seinen Zweck zu begehen.
Als Beispiel vielleicht derjenige in der Verbindung ist versandt nicht gerade die beste, aber denken Sie an einem Cookie Validierung eine private Website zuzugreifen. Einige Websites verwenden ein Cookie auf einen Wert wie „wahr“ oder „1“ zu finden, sobald der Benutzer Korbdurchschub- den Validierungsprozess. Wenn Sie in den Header der Cookie-Wert einzufügen, ohne den Validierungsprozess verläuft, sollten Sie die privaten Seiten ohne die Notwendigkeit der Login in die Anwendung zugreifen.
