CWE ID 113: Improper Neutralization of CRLF Sequences in HTTP Headers (‘HTTP Response Splitting‘)

最新推荐文章于 2023-07-17 07:01:31 发布
最新推荐文章于 2023-07-17 07:01:31 发布
阅读量907 收藏
点赞数
分类专栏: CWE 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Aron2278/article/details/119177417
版权
本文介绍了CWE ID 113,即HTTP响应拆分缺陷,它可能导致缓存中毒和跨站脚本攻击。为解决此问题,建议进行输入校验,如设定编码规范、过滤特殊符号,并推荐使用ESAPI库进行安全控制,通过引入依赖并设置请求头来增强HTTP头的安全性。
摘要由CSDN通过智能技术生成

问题描述

HTTP响应拆分缺陷,当调用一个存在该缺陷的请求时,很容易受到攻击,将不受信任的内容写入HTTP请求头中,导致缓存中毒和跨站点脚本攻击。

解决方案

1、输入校验

注意规范构建 HTTP 请求头,避免使用未经验证的输入数据,对构建内容进行合法校验,如:设定编码规范(UTF-8)、创建黑名单过滤特殊符号(如"\n", “\r”)、封装Url请求等等。

2、使用 ESAPI 库修复

ESAPI是一个免费、开源的Web应用程序安全控制组件,对常见安全漏洞都提供对应的安全控制实现方法。

2.1 引入 ESAPI 依赖

<!-- https://mvnrepository.com/artifact/org.owasp.esapi/esapi -->
<dependency>
    <groupId>org.owasp.esapi
最低0.47元/天 解锁文章
豹仔頭Aron࿐
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【悟空云课堂】第二十二期:HTTP响应拆分漏洞(CWE-113
Tianqi_Wukong的博客
01-20 679
【悟空云课堂】第二十二期:HTTP响应拆分漏洞 什么是HTTP响应拆分? HTTP响应拆分是由于应用程序未对用户提交的数据进行严格过滤,如果用户输入的值中注入了CRLF字符,有可能改变HTTP报头结构。 HTTP响应拆分漏洞,也叫CRLF注入攻击。CR、LF分别对应回车(即URL编码%0d或\r)、换行(即URL编码%0a或\n)字符。HTTP头由很多被CRLF组合分离的行构成,每行的结构都是“键:值”。 攻击者可以在HTTP标头中包含攻击的报文数据,从而让浏览器按照攻击者想要达到的目的进行HTTP响应。
http response splitting attack 的基本原理
packet的专栏
06-05 5335
    translation:                      <->原理简介  http响应头截断是一种新的攻击技术,由该技术衍生了许多攻击的方法:web cache poisoning,cross user defacement,cross –site scripting等。攻击者利用它 可以获取用户的敏感信息甚至是包含用户名和密码的认证信息。在许多环境下都存在该攻击的可能,Mic
HTTP Response Splitting 攻击
cqf539的专栏
08-23 5581
翻译自https://www-304.ibm.com/support/docview.wss?uid=swg27019020#Conclusions 摘要:     国外将其归结为一种新的WEB应用漏洞攻击技术,可以构造跨站、缓存投毒和劫持敏感用户信息等。攻击是由于服务器没有
Rails修复可能存在的HTTP Response Splitting攻击隐患
哲学.tar.bz2
10-20 274
原文址址:http://weblog.rubyonrails.com/2008/10/19/response-splitting-risk     由于Rails中所用到的Ruby HTTP 函数库并没有对HTTP Headers的值进行任何的过滤,因此在某些情况下,当用户输入的值写到HTTP响头部时,攻击者就有机会构造出Response Splitting (响应拆分)和Header Inje...
CWE通用缺陷对照表
黑面狐
06-20 4175
CWE通用缺陷对照表记录CWE-1 : Location CWE-113 : Improper Neutralization of CRLF Sequences in HTTP Headers ('HTTP Response Splitting') CWE-116 : Improper Encoding or Escaping of Output CWE-118 : Improper Access...
java代码审计手书(三)
热门推荐
一个码农的笔记
11-24 1万+
翻译自:http://find-sec-bugs.github.io/bugs.htm 翻译:聂心明 在使用脚本引擎的时潜在的代码注入 漏洞特征:SCRIPT_ENGINE_INJECTION 请严格的评估动态代码。应该仔细分析代码的结构。恶意代码的执行会导致数据的泄露或者执行任意系统指令。 如果你想动态的运行代码,那么请找一个沙箱(见引用) 有害的代码: public void runCusto...
cwe-tool:基于常见弱点枚举的OWASP CAPSEC数据库的命令行CWE发现工具
05-23
安装可通过Node.js工具执行如果您具有Node.js环境,则可以使用cwe-tool调用cwe-tool tool,如下所示: npx cwe-tool [...command-line options...]码头工人从Docker Hub提取图像docker pull lirantal/cwe-tooldocker...
cwe_checker:cwe_checker在二进制可执行文件中找到易受攻击的模式
02-06
cwe_checker 注意:最近,我们将默认分析后端从BAP更改为较新的Ghidra后端。 该开关会在命令行界面和docker映像界面中引起一些更改。 请确保相应地更新脚本! 或者,稳定版本仍使用旧界面。什么是cwe_checker? cwe_...
信息安全_数据安全_cwe_checker:Hunting Binary Code .pdf
08-21
本次文档所涉及的“信息安全_数据安全_cwe_checker:Hunting Binary Code”介绍了利用cwe_checker工具在多种CPU架构上狩猎二进制代码中的漏洞,包含以下几个方面的主要知识点: 1. 安全可信与安全设计 安全可信强调...
cwe_latest 2021 common weakness enumeration.pdf
03-24
CWE Latest 2021 Common Weakness Enumeration》是美国国土安全部国家网络安全分部赞助的软件保障战略项目,由MITRE公司于2021年发布。CWE(Common Weakness Enumeration)是一个公开的、社区驱动的弱点分类体系,...
WSUS CWE:了解哪个WSUS客户端不同步-开源
05-08
标题中的"CWE"通常指的是"Common Weakness Enumeration",这是一个通用的安全弱点分类系统,但在本上下文中,它可能被用作"Client Update Errors"或"Client Synchronization Errors"的缩写,专门指WSUS客户端的更新...
【转】WEB安全-ESAPI
最新发布
tpriwwq的专栏
07-17 1294
ESAPI是owasp提供的一套API级别的web应用解决方案。
代码安全_弱点(脆弱性)分析 CWE、漏洞、防御机制
sun0322
03-30 2147
CWE Common Weakness Enumeration ■List ・CWE-117: Improper Output Neutralization for Logs   The software does not neutralize or incorrectly neutralizes output that is written to logs. http://...
ESAPI学习笔记
weixin_30487201的博客
12-22 1284
ESAPI是owasp提供的一套API级别的web应用解决方案,本人通过对ESAPI和其提供的demo源码学习发现,关键的不是对其所提供的API的使用,而是其web应用安全防御体系的构建的思想。比如,您不一定要使用ESAPI去实现日志系统,而是应该明白,一套好的日志系统应该是怎么样子的,应具备什么样的特性等。 此外,在引入使用时可能会遇到不少麻烦,所以读者应根据自身...
WEB安全之代码安全----ESAPI
一杯咖啡的渗透记忆
02-20 3749
ESAPI是owasp提供的一套API级别的web应用解决方案。简单的说,ESAPI就是为了编写出更加安全的代码而设计出来的一些API,方便使用者调用,从而方便的编写安全的代码 其官方网站为:https://www.owasp.org/,其有很多针对不同语言的版本,其J2ee的版本需要jre1.5及以上支持 安装篇 第一步:引入Jar Maven <dependency> ...
使用java代码方式解决XSS、Host Head漏洞问题
gmj53的专栏
08-04 1386
一、使用java代码方式解决XSS漏洞问题 1 ESAPI方式 1.1 引入jar包 compile('org.owasp.esapi:esapi:2.2.3.1') { exclude group: 'log4j', module: 'log4j' exclude group: 'org.slf4j', module: 'slf4j-simple' } 1.2 增加配置文件 1.2.1 ESAPI.properties配置文件内容 # 是否要打印配置属性,默认为true ESAPI.p
如何消除VeraCode检测中的CRLF Injection Issue(CWE ID 117)
打杂人
05-04 3452
Veracode是一个检测应用程序是否存在安全漏洞的工具,更多细节请访问http://www.veracode.com 这里主要总结一下如何消除Veracode检测结果中的CRLF(Carriage Return, Line Feed) Injection Issue(CWE ID 117)。 首先,先看看VeraCodeCRLF Injection Issue的定义: The a
codeql使用指南
balance的博客
03-22 7739
目录 简介 hello world 1、安装codeql-cli 和 ql库 2、创建源码数据库 3、编写hello world 4、执行查询 进阶 1、扫描结果快速定位到源码 2、用作白盒扫描器 3、开发自己的查询代码 4、分析GitHub上的开源项目 简介 codeql是一门类似SQL的查询语言,通过对项目源码(C/C++、C#、golang、javaJavaScript、typescript、python)进行完整编译,并在此过程中把项目源码文件的所有相关信息(调用关.
CWE-119: Improper Restriction of Operations within the Bounds of a Memory Buffer(没能将内存操作限制在边界范围内)
plstudio1的博客
03-20 2342
CWE-119: Improper Restriction of Operations within the Bounds of a Memory Buffer(没能将内存操作限制在边界范围内) ID: 119 类型:类 结构:简单 状态:可用 描述 软件在内存缓冲区上执行操作,但它可以读取或写入缓冲区预期边界之外的内存位置。 ...
Vulnerability classifications CWE-16: Configuration CWE-436: Interpretation Conflict CAPEC-63: Cross-Site Scripting (XSS)表示什么
06-09
1. CWE-16: Configuration,即配置问题,指的是由于应用程序配置不当而导致的安全漏洞。 2. CWE-436: Interpretation Conflict,即解释冲突,指的是由于 HTTP 响应头中的 Content-type 字段与响应内容的 MIME 类型...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值