Java代码审计 HTTP头操纵 response.addHeader()

最新推荐文章于 2023-06-04 19:02:22 发布
最新推荐文章于 2023-06-04 19:02:22 发布
阅读量791 收藏 2
点赞数 2
文章标签: java
原文链接:http://www.cnblogs.com/jayus/p/11435428.html
版权

 

系统中数据包含在一个HTTP响应头文件里,未经验证就发送给了web用户,即获取未经验证的值输入到头文件中。

String fileName = request.getParameter("fileName");
fileName = new String(fileName.getBytes("gb2312","iso-8859-1"));

string header = request.getParameter("headerInfo");
string data = request.getParameter("dataInfo");
//生成excel工作簿
HSSFWorkbook wkb = ExportUtil.exportExcel(header,data,getDataList(request));
//放回前台提供下载
response.setContentType("application/x-download;charset-utf-8");
response.addHeader("Content-DEsposition","attachment;filename="+filename);

修复建议:  

  攻击者利用未经验证的字符,可以提交一个恶意字符串,不仅可以控制应用程序要发送的响应剩余头文件和正文,还可以创建完全受其控制的其他响应。

  对即将加入响应头文件的值进行输入验证,并检验其属性是否正确,验证所有应用程序输入数据或向用户输出的数据。

  建议可以创建一份安全字符自名单,其中的字符允许出现在HTTP响应头文件中,并且只接受完全由这些受认可的字符组成的输入。

  例如,有效的用户名可能仅包含字母数字字符,帐号可能仅包含0-9的数字.或者建立黑名单如:校验禁止如“:”(冒号)和“=”(等号)及\r\n等。


 

转载于:https://www.cnblogs.com/jayus/p/11435428.html

dilamo1968
关注
java addheader_Java HttpResponse.addHeader方法代码示例
weixin_35827671的博客
02-21 601
import org.apache.http.HttpResponse; //导入方法依赖的package包/类/*** Processes the response (possibly updating or inserting) Content-Length and Transfer-Encoding headers.* @param response The HttpResponse to ...
Java开发面试题——很有帮助的
m0_46891419的博客
06-19 3327
面试题 一、Java 1.运行机制 1)Java跨平台原理 Java实现跨平台是JVM(Java虚拟机)起的作用。如果是C/C++的编译方式,一旦换了一个平台,那么就需要重新编译一份对应的可执行代码,但是Java则不同,编译好了一份Java字节码,换到不同的平台上时,并不需要重新编译,前提是这些平台上都安装了相应平台的JVM,JVM不是跨平台的。 2)垃圾回收器的基本原理是什么?垃圾回收器可以马上回收内存吗?有什么办法主动通知虚拟机进行垃圾回收? 垃圾回收器通常是作为一个单独的低级别的线程运行,在不可预知的
addheader()java_Java代码审计 HTTP操纵 response.addHeader()
weixin_34410564的博客
02-15 566
系统中数据包含在一个HTTP响应文件里,未经验证就发送给了web用户,即获取未经验证的值输入到文件中。String fileName = request.getParameter("fileName");fileName = new String(fileName.getBytes("gb2312","iso-8859-1"));string header = request.getParam...
java文件下载设置中文名称的实例(response.addHeader)
08-28
下面小编就为大家分享一篇java文件下载设置中文名称的实例(response.addHeader),具有很好的参考价值,希望对大家有所帮助
HTTP协议基础
Nicolas
12-21 1009
HTTP(HyperTextTransferProtocol)是超文本传输协议的缩写,它用于传送WWW方式的数据,关于协议的详细内容请参考RFC2616。 HTTP协议采用了请求/响应模型。客户端向服务器发送一个请求,请求包含请求的方法、URI、 协议版本、以及包含请求修饰符、客户信息和内容的类似于MIME的消息结构。服务器以一个状态行作为响应,相应的内容包括消息协议的版本,成功
addheader()java_java文件下载设置中文名称的实例(response.addHeader)
weixin_35797963的博客
02-15 366
实例如下:protected void doPost(HttpServletRequest request, HttpServletResponse response)throws ServletException, IOException {String browser = "";String fileName = "测试.txt";try {browser = request.getHeade...
代码审计------http注入
weixin_40709439的博客
11-23 794
http部注入 User-Agent引发sql注入: 下面的是存在注入的代码: ?php $link = new mysqli(‘localhost’, ‘insecure’, ‘1ns3cur3p4ssw0rd’, ‘analytics’); $query = sprintf(“INSERT INTO visits (ua, dt) VALUES (’%s’, ‘%s’)”, $_SERVE...
http文件
happyq的专栏
04-15 2253
<br />http文件<br />Accept-Charset:浏览器可接受的字符集。<br />Accept-Encoding:浏览器能够进行解码的数据编码方式,比如gzip。Servlet能够向支持gzip的浏览器返回经gzip编码的HTML页面。许多情形下这可以减少5到10倍的下载时间。<br />Accept-Language:浏览器所希望的语言种类,当服务器能够提供一种以上的语言版本时要用到。<br />Authorization:授权信息,通常出现在对服务器发送的WWW-Authentica
java葵花宝典中的宝典!
caoyongjunjava的专栏
10-05 1万+
葵花宝典之java    一:面向对象的特征有哪些方面     1. 抽象:抽象就是忽略一个主题中与当前目标无关的那些方面,以便更充分地注意与当前目标有关的方面。抽象并不打算了解全部问题,而只是选择其中的一部分,暂时不用部分细节。抽象包括两个方面,一是过程抽象,二是数据抽象。 2. 继承:继承是一种联结类的层次模型,并且允许和鼓励类的重用,它提供了一种明确表述共性的方法。对象的一个新类可以
2.SDL规范文档
weixin_30872337的博客
02-27 2358
01.安全设计Checklist 输入验证 校验跨信任边界传递的不可信数据(策略检查数据合法性,含白名单机制等)格式化字符串时,依然要检验用户输入的合法性,避免可造成系统信息泄露或者拒绝服务 禁止向Java Runtime.exec()方法传递不可信、未净化的数据(当参数中包含空格,双引号,以-或者/符号开表示一个参数开关时,可能会导致参数注入漏洞),建议如果可以禁止JVM...
网络基础:HTTP协议与网络安全
# 1. 网络基础概述 ## 1.1 互联网发展历史 互联网的发展可以追溯到20世纪60年代美国的ARPANET项目,经过几十年的发展,互联网已经成为人类社会不可或缺的基础设施。 ## 1.2 网络基础架构介绍 ...HTTP(HyperTex
运维面试题
热门推荐
weixin_42690304的博客
09-18 2万+
运维面试题 NETWORK 1 请描述TCP/IP协议中主机与主机之间通信的三要素 参考答案 IP地址(IP address) 子网掩码(subnet mask) IP路由(IP router) 2 请描述IP地址的分类及每一类的范围 参考答案 A类1-26 B类128-191 C类192-223 D类224-239组播(多播) E类240-254科研 3 请描述A、B...
12-HTTP-response设置响应
最新发布
记录java学习日常~
06-04 5550
代码】12-HTTP-response设置响应
JAVA中级(五)response(1)基本介绍,代表响应的类,如何设置响应,行,体
小冷猫的博客
04-17 6263
本节来介绍response.response是响应的意思.在JAVA web的主要作用就是把发送我们设置的信息给客户端。HttpServletResponseHttpServletResponse如何使用? response是一个对象,主要用于动态的给客户端反馈信息。 HttpServletResponse 普通的Servlet中的response类型是ServletResponse,而HttpS...
servlet 中response.setHeader设置response HTTP 失效问题解决
weixin_30642029的博客
11-25 3196
项目中需要在 servlet处理以后,将返回的内容进行gzip打包传输。 然后顺其自然的写成 for example: byte [] b = {......}; response.getOutputStream().write(b); response.setHeader("Content-Type","application/gzip"); response.setHe...
Java深度历险(一)——Java字节代码操纵ClassNotFoundException的解决(Eclipse环境下)
bigbin的专栏
08-04 1144
在一般情况下,开发人员都是在程序运行之前就编写完成了全部的Java代码并且成功编译。对有些应用来说,Java代码的内容在运行时刻才能确定。这个时候就 需要动态编译源代码来生成Java字节代码,再由JVM来加载执行。典型的场景是很多算法竞赛的在线评测系统(如PKU Judge
java基础常见问题解析(七)javaWeb基础知识
wanghaoxin的博客
05-13 875
javaWeb基础知识 javaWeb的虚拟目录 虚拟目录 是指在开发中用到的目录结构层次,但这些在部署的时候有些并不真实存在; 比如在进行javaWeb项目开发的过程中,我们会用到的WebRoot : 是虚拟目录 (存放jsp页面) 和 src : 虚拟目录 ,这些目录名称在javaWeb项目部署到web服务器上的时候其实根本不存在,所以称为虚拟目录 Web项目部署到Tomc...
服务器http响应漏洞,HTTP协议注射漏洞实例
weixin_36081327的博客
08-10 1731
HTTP 响应文件中包含未经验证的数据会引发 cache-poisoning(缓存中毒)、cross-sitescripting、cross-user defacement(用户信息涂改)、page hijacking(网页劫持)、cookiemanipulation(cookie操作) 或 open redirect(重定向)。HTTP协议注射以下情况中会出现 HTTP协议注射漏洞: 1....
利用HTTP host攻击的技术
Coisini的博客
06-12 2221
一般通用web程序是如果想知道网站域名不是一件简单的事情,如果用一个固定的URI来作为域名会有各种麻烦。开发人员一般是依赖HTTP Host header(比如在php里是_SERVER[“HTTP_HOST”] ),而这个header很多情况下是靠不住的。而很多应用是直接把这个值不做html编码便输出到了页面中,比如: <link href="http://_SERVER['HOST']...
response.setHeaderresponse.addHeader区别
06-01
`response.setHeader()` 和 `response.addHeader()` 都可以设置 HTTP 响应,但是它们之间有一些区别。 `response.setHeader()` 方法用于设置指定名称的响应的值,如果响应已经存在,则替换其值;如果不存在,则创建一个新的响应。例如,下面的代码将设置名为 "Content-Type" 的响应的值为 "application/json": ``` response.setHeader("Content-Type", "application/json"); ``` 相反,`response.addHeader()` 方法用于向响应添加一个具有指定名称和值的新。如果响应已经存在,则在其末尾添加一个新值。例如,下面的代码将向响应添加两个名为 "Set-Cookie" 的响应: ``` response.addHeader("Set-Cookie", "foo=bar"); response.addHeader("Set-Cookie", "baz=qux"); ``` 总的来说,如果只需要设置单个值的响应,则使用 `setHeader()` 方法;如果需要添加多个值的响应,则使用 `addHeader()` 方法。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值