HTTP-Response-Splitting
-
03-07-2019 - |
Frage
im Versuch, dies möglich zu nutzen und fragen, zu handhaben, was ist der beste Weg, es zu tun? sollte ich Common-Validator des verwenden Apache und erstellen, die eine Liste der bekannten Symbole erlaubt und benutzen?
Lösung
Von der Wikipedia-Artikel :
Die allgemeine Lösung ist URL-Codierung Strings vor der Aufnahme in der HTTP-Header wie Standort oder Set-Cookie.
Typische Beispiele für sanitization umfassen Gießen auf ganzzahlige oder aggressive regulären Ausdruck ersetzt werden. Es ist erwähnenswert, dass, obwohl dies nicht ein PHP-spezifisches Problem ist, das PHP-Interpreter enthält Schutz gegen diesen Angriff seit der Version 4.4.2 und 5.1.2.
Bearbeiten
im gebunden in jsp die mit Java-Aktionen mit!
Es erscheint keine JSP-basierte Schutzmechanismen für diese Angriffsmethode sein - viele Beschreibungen auf dem Netz übernehmen asp oder php, aber
Andere Tipps
Verwenden Sie PHP ? ;)
Laut Wikipedia und dem PHP-CHANGELOG PHP hatte Schutz dagegen in PHP4 seit 4.4.2 und PHP5 seit 5.1.2.
entrahmte nur - aber, könnte dies helfen. Seine Beispiele sind in JSP geschrieben.
ok, gut in einem int Casting ist nicht viel, wenn Strings lesen, auch in jeder Aktion mit regex der Eingabe von Browser recieves chaotisch sein könnte, im für eine robustere Lösung sucht