HTTP-Response-Splitting

Question

im Versuch, dies möglich zu nutzen und fragen, zu handhaben, was ist der beste Weg, es zu tun? sollte ich Common-Validator des verwenden Apache und erstellen, die eine Liste der bekannten Symbole erlaubt und benutzen?

Answer 1

Von der Wikipedia-Artikel :

  

Die allgemeine Lösung ist URL-Codierung Strings vor der Aufnahme in der HTTP-Header wie Standort oder Set-Cookie.

     

Typische Beispiele für sanitization umfassen Gießen auf ganzzahlige oder aggressive regulären Ausdruck ersetzt werden. Es ist erwähnenswert, dass, obwohl dies nicht ein PHP-spezifisches Problem ist, das PHP-Interpreter enthält Schutz gegen diesen Angriff seit der Version 4.4.2 und 5.1.2.

Bearbeiten

  

im gebunden in jsp die mit Java-Aktionen mit!

Es erscheint keine JSP-basierte Schutzmechanismen für diese Angriffsmethode sein - viele Beschreibungen auf dem Netz übernehmen asp oder php, aber

Answer 2

Verwenden Sie PHP ? ;)

Laut Wikipedia und dem PHP-CHANGELOG PHP hatte Schutz dagegen in PHP4 seit 4.4.2 und PHP5 seit 5.1.2.

---

entrahmte nur - aber, könnte dies helfen. Seine Beispiele sind in JSP geschrieben.

ok, gut in einem int Casting ist nicht viel, wenn Strings lesen, auch in jeder Aktion mit regex der Eingabe von Browser recieves chaotisch sein könnte, im für eine robustere Lösung sucht

Answer 3

Verwenden Sie PHP ? ;)

Laut Wikipedia und dem PHP-CHANGELOG PHP hatte Schutz dagegen in PHP4 seit 4.4.2 und PHP5 seit 5.1.2.

---

entrahmte nur - aber, könnte dies helfen. Seine Beispiele sind in JSP geschrieben.

Answer 4

ok, gut in einem int Casting ist nicht viel, wenn Strings lesen, auch in jeder Aktion mit regex der Eingabe von Browser recieves chaotisch sein könnte, im für eine robustere Lösung sucht