CWE-113 HTTP响应截断安全问题修复

亚林瓜子

于 2024-07-27 10:31:40 发布

阅读量436

点赞数 12

文章标签： http 安全 java CWE-113 owasp encoder

欢迎流通功德无量

本文链接：https://blog.csdn.net/fxtxz2/article/details/140731595

版权

问题

Java中设置响应头时，如果设置的是请求参数，则会造成非法请求参数修改响应头，从而拆分出多个响应。问题代码如下：

response.addHeader("Content-Length", "" + data.length);

解决

只需要在设置响应头数据时，对数据进行过滤即可：

response.addHeader("Content-Length", Encode.forJava("" + data.length));

这里使用的是owasp-java-encoder库进行处理的，需要引入相关依赖：

<dependency>
    <groupId>org.owasp.encoder</groupId>
    <artifactId>encoder</artifactId>
    <version>1.2.3</version>
</dependency>

参考

CWE-113: Improper Neutralization of CRLF Sequences in HTTP Headers (‘HTTP Request/Response Splitting’)
owasp-java-encoder

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

亚林瓜子

关注关注

12
点赞
踩
2

收藏

觉得还不错? 一键收藏
0
评论
CWE-113 HTTP响应截断安全问题修复

Java中设置响应头时，如果设置的是请求参数，则会造成非法请求参数修改响应头，从而拆分出多个响应。
复制链接

扫一扫

【悟空云课堂】第二十二期：HTTP响应拆分漏洞（CWE-113）

Tianqi_Wukong的博客

01-20

654

【悟空云课堂】第二十二期：HTTP响应拆分漏洞什么是HTTP响应拆分？ HTTP响应拆分是由于应用程序未对用户提交的数据进行严格过滤，如果用户输入的值中注入了CRLF字符，有可能改变HTTP报头结构。 HTTP响应拆分漏洞，也叫CRLF注入攻击。CR、LF分别对应回车（即URL编码%0d或\r）、换行（即URL编码%0a或\n）字符。HTTP头由很多被CRLF组合分离的行构成，每行的结构都是“键:值”。攻击者可以在HTTP标头中包含攻击的报文数据，从而让浏览器按照攻击者想要达到的目的进行HTTP响应。

渗透学习的基础和关于渗透学习的总结OWASP TOP 10的演化

qq_52934910的博客

12-23

718

1、必备基础：HTML 与 JavaScript（xss必学）。 2、至少选择一种操作系统：Windows为主要学习方向，例如：DOS命令； 3、至少选择一种搭建平台服务：Apache为主要学习方向，例如：Apache配置、搭建； 4、至少选择一门编程语言：PHP为主要学习方向，例如：熟悉PHP语法； 5、至少选择一种数据库：Mysql为主要学习方向，例如：熟悉Mysql语句；学会使用od pd ce 等工具 A01:2021-Broken Access Control从第五位上...

参与评论您还未登录，请先登录后发表或查看评论

怎么解决修改“HTTP响应拆分漏洞”？怎么修改ASP,down.asp

c0hui的专栏

10-28

1918

怎么解决修改“HTTP响应拆分漏洞”？怎么修改ASP,down.asp 偶看网络营销博客通过360网站安全监测出现——HTTP响应拆分漏洞（WASC Threat Classification）该漏洞的危害：攻击者可能注入自定义HTTP头。例如，攻击者可以注入会话cookie或HTML代码。这可能会进行类似的XSS（跨站点脚本）或会话固定漏洞。解决方案：限制用户输入的CR和LF，

南软23研信息安全期末笔记

qq1838641320的博客

01-04

1664

零日漏洞是指未被公开披露的软件漏洞，没有给软件的作者或厂商以时间去为漏洞打补丁或是给出建议解决方案，从而攻击者能够利用这种漏洞破坏计算机程序、数据及设备。利用零日漏洞开发攻击工具进行的攻击称为零日攻击。

OWASP TOP 10-2021详解

m0_70483044的博客

12-02

2112

OWASP（开放式Web应用程序安全项目）是一个开放的社区，由非营利组织 OWASP基金会支持的项目。对所有致力于改进应用程序安全的人士开放，旨在提高对应用程序安全性的认识。其最具权威的就是“10项最严重的Web 应用程序安全风险列表” ，总结并更新Web应用程序中最可能、最常见、最危险的十大漏洞，是开发、测试、服务、咨询人员应该会的应用知识。2003年该组织首次出版了“Top 10”，也就是10项最严重的Web应用程序安全风险列表。

Find-Sec-Bugs 漏洞范例

热门推荐

zhaohonghan的博客

04-03

1万+

Find-Sec-Bugs 漏洞范例欢迎使用Markdown编辑器你好！这是你第一次使用 Markdown编辑器所展示的欢迎页。如果你想学习如何使用Markdown编辑器, 可以仔细阅读这篇文章，了解一下Markdown的基本语法知识。新的改变我们对Markdown编辑器进行了一些功能拓展与语法支持，除了标准的Markdown编辑器功能，我们增加了如下几点新功能，帮助你用它写博客： ...

OWASP(开放Web软体安全项目- Open WebApplication Security Project)是一个开放社群、非盈利性组织，长期致力于协助政府或企业了解并改善网页应用程式与网页服务

wqlaaaa0418_www的博客

12-14

3881

对OWASP的介绍及举例

软件测试之安全怎么做？

06-08

1万+

安全测试1.安全测试在做什么？2.安全测试者是怎样定位自己的？3.安全的本质是什么？4.概念定义5.我们应该如何去着手5.1.测试的特性5.1.1.操作系统安全5.1.2.数据库5.1.3.web安全5.1.4.软件的发布与安装安全5.1.5.协议与接口攻防5.1.6.敏感数据保护5.1.7.手机端安全5.1.8.静态代码分析（纯白盒）5.2.WEB安全测试5.2.1.身份验证5.2.2.验证码（普通验证码、知识验证码、无需思考的滑动验证码）5.2.3.会话管理5.2.4.权限管理5.2.5.敏感信息传输

OWASP 前10

m0_52433710的博客

11-15

392

A01：2021 - 断路控制因素 CWEs 映射最高发病率 Avg 发病率 Avg 加权利用 Avg 加权影响最大覆盖率 Avg 覆盖范围总发生数简历总数 34 55.97% 3.81% 6.92 5.93 94.55% 47.72% 318,487 19,013 概述从第五位上升，94%的应用程序被测试为某种形式的断路控制，平均发生率为3.81%，在贡献的数据集中发生率

CWE-checker分析.pptx

10-24

通过使用CWE Checker，开发人员能够及早发现潜在的安全隐患，并根据工具提供的建议来实施修复措施，从而提高软件的安全性。 **CWE Checker 原理** CWE Checker 的核心在于静态分析技术。静态分析是在不执行代码的...

cwe-tool:基于常见弱点枚举的OWASP CAPSEC数据库的命令行CWE发现工具

05-23

安装可通过Node.js工具执行如果您具有Node.js环境，则可以使用cwe-tool调用cwe-tool tool，如下所示： npx cwe-tool [...command-line options...]码头工人从Docker Hub提取图像docker pull lirantal/cwe-tooldocker...

cwe-sdk-[removed]符合MITER CAPEC的通用弱点枚举（CWE）Node.js SDK

05-08

cwe-sdk 符合MITER / CAPEC的通用弱点枚举（CWE）Node.js SDK 安装 yarn add cwe-sdk 用法需要CweManager类并使用其方法 const { CweManager } = require ( 'cwe-sdk' ) 例子 const { CweManager } = require ( '...

信息安全_数据安全_cwe_checker：Hunting Binary Code .pdf

08-21

信息安全_数据安全_cwe_checker：Hunting Binary Code 安全可信安全设计数字取证云安全安全风险

Portcullis CWE Search-crx插件

04-04

此扩展为常见的弱点枚举（CWE）数据库提供快速搜索功能。此扩展为常见的弱点枚举（CWE）数据库提供快速搜索功能。使用此扩展，Portcullis测试团队能够使用正则表达式和/或密钥字来搜索完整的CWE字典，以快速识别最...

HTTP 协议浅析

最新发布

yimeixiaolangzai的博客

07-23

1127

HTTP 是一种无状态的、基于请求和响应模式的应用层协议。无状态意味着每次请求都是独立的，不依赖于前后的请求。客户端（通常是浏览器）发起请求，服务器处理请求并返回响应。

05 HTTP & Tomcat & Servlet

weixin_62504976的博客

07-22

1144

HTTP概念HyperText Transfer Protocol，超文本传输协议，规定了浏览器和服务器之间数据传输的规则数据传输的规则指的是请求数据和响应数据需要按照指定的格式进行传输如果想知道具体的格式，可以打开浏览器，点击F12打开开发者工具，点击Network来查看某一次请求的请求数据和响数据具体的格式内容在浏览器中如果看不到上述内容，需要清除浏览器的浏览数据。chrome浏览器可以使用ctrl+shift+Del进行清除所以学习HTTP主要就是学习请求和响应数据的具体格式内容。

JDK HttpClient - Java 11 可用的 JDK 内置的 HTTP 客户端

成富的专栏

07-22

1078

在 Java 应用的开发中，发送 HTTP 请求是一个常见的需求。应用在开发时，通常会使用流行的开源第三方库作为 HTTP 客户端，如 Apache HttpClient 或 OkHttp 等。这里介绍的是 JDK 自带的 HttpClient 实现，Java 11 可用。说到这里，还在用 Java 8 的朋友不用着急划走，Java 8 的下一个 LTS 版本就是 Java 11 了，没准什么时候...

网络访问(Socket/WebSocket/HTTP)

Cary_cacb的博客

07-23

814

HarmonyOS为用户提供了网络连接功能，具体由网络管理模块负责。通过该模块，用户可以进行Socket网络通滚、WebSocket连接、HTTP数据请求等网络通信服务。需要注意的是，在使用网络管理模块提供的网络数据通信服务之前，用户需要根据具体的使用情况，向系统获取相应的使用权限。

CWE-200漏洞浮现

08-30

CWE-200是指"信息暴露"（Information Exposure）的一种常见的软件安全漏洞。当某个系统或应用程序在处理敏感信息时，没有正确地保护或隐藏这些敏感信息，就可能导致信息暴露漏洞的出现。这类漏洞可能会暴露用户的个人身份信息、登录凭据、敏感数据等，给攻击者提供了潜在的机会进行恶意行为，如身份盗用、数据泄露等。攻击者可以通过各种方式利用这些暴露的信息，甚至可能对系统进行进一步的攻击。为了防止CWE-200漏洞的发生，开发人员应该采取以下一些措施： 1. 确保在处理敏感信息时使用适当的加密和保护机制。 2. 避免在错误消息中暴露敏感信息。 3. 使用适当的访问控制和权限管理机制，限制对敏感信息的访问。 4. 对输入数据进行正确的验证和过滤，防止攻击者利用输入来获取敏感信息。 5. 定期进行安全审计和漏洞扫描，及时发现并修复潜在的信息暴露漏洞。如果你在开发或使用软件时遇到CWE-200漏洞问题，建议及时修复漏洞，确保用户的敏感信息得到合理的保护。

CWE-113 HTTP响应截断 安全问题修复

问题

解决

参考

CWE-113 HTTP响应截断安全问题修复