科讯cms Item/filedown.asp存在高危漏洞怎么修复?

2016年07月05日 |发布者:佚名  点击:次
描述:

HTTP响应拆分漏洞,也叫CRLF注入攻击。CR、LF分别对应回车、换行字符。
 

HTTP头由很多被CRLF组合分离欧洲杯网上买球哪个网站行构成,每行欧洲杯网上买球哪个网站结构都是“键:值”。如果用户输入欧洲杯网上买球哪个网站值部分注入了CRLF字符,它有可能改变欧洲杯网上买球哪个网站HTTP报头结构。
 

危害:

攻击者可能注入自定义HTTP头。例如,攻击者可以注入会话cookie或HTML代码。这可能会进行类似欧洲杯网上买球哪个网站XSS(跨站点脚本)或会话固定漏洞。

解决方法:

限制用户输入欧洲杯网上买球哪个网站CR欧洲杯网上买球哪个网站LF,或者对CR欧洲杯网上买球哪个网站LF字符正确编码后再输出,以防止注入自定义HTTP头。


转载请注明 文章出自:/jswz/cxwz/2832.html

转载请注明 文章出自:www.juhuiwangluo.com/jswz/cxwz/2832.html
返回顶部