HTTP响应截断

已于 2022-07-19 15:59:35 修改
阅读量4.2k 收藏 2
点赞数
分类专栏: 安全相关 文章标签: http
于 2022-07-19 15:47:37 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gaomanzzu/article/details/125873813
版权

什么是http响应截断

概念

http响应截断是由于应用程序未对用户提交的数据进行严格过滤,因此当用户恶意提交包含CR(回车,即URL编码%0d或\r)和LF(换行符,即URL编码%0a或\n)的http请求,且请求数据包含在发送给web用户的http响应标头中时,服务器可能会创建两个http响应,攻击者可以控制第2个响应并加以攻击。攻击者还可以控制响应的内容,构造XSS攻击,其中的响应内容包含恶意的JavaScript或其他代码,并在用户的浏览器中执行,也可能会让用户重定向到攻击者控制的WEB内容中或在用户的主机上执行恶意操作。

知识点

1、什么是CR LF

CRLF 是 CR 和 LF两个字符的拼接,它们分别代表“回车+换行”(\r\n),全称为 “Carriage Return/Line Feed”,十六进制编码分别为0x0d 和 0x0a,URL编码为 %0D 和 %0A 。CR 和 LF 组合在一起即 CRLF 命令,它表示键盘上的 “Enter” 键,许多应用程序和网络协议使用这些命令作为分隔符。

2、为什么会产生http响应截断

在 HTTP 协议中,HTTP header 之间是由一个 CRLF 字符序列分隔开的,HTTP Header 与 Body 是用两个 CRLF 分隔的,浏览器根据这两个 CRLF 来取出 HTTP 内容并显示出来。
如果http响应头中包含CRLF,则浏览器会识别后提前结束响应头。就会产生http响应截断。

3、产生http响应截断的

最低0.47元/天 解锁文章
瑶桐
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
解决奇安信代码卫士;HTTP请求头注入漏洞;防止HTTP响应截断攻击的最安全的方法是创建一份安全字符白名单,只接受由这些组成的串
04-23
org.restlet jar下载和解决漏洞代码... HttpHeaders headers = new HttpHeaders(); accessToken = Reference.decode(accessToken); headers.add("accessToken", accessToken); Map, Object> params = new HashMap();
如何防止HTTP响应截断攻击
最新发布
gmqqcsdn的博客
05-22 974
HTTP响应截断攻击(HTTP Response Splitting)是一种常见的网络攻击方式,攻击者通过在请求中注入恶意的CRLF(Carriage Return Line Feed,即换行符)来拆分HTTP响应。这种攻击使得服务器返回两个或更多的响应,攻击者可以控制其中一个或多个响应,从而实现多种恶意行为,如跨站脚本攻击(XSS)、会话固定、缓存病毒攻击等。参数化查询是一种在SQL查询中使用占位符(如问号、冒号等)表示输入参数的方法,然后将实际的参数值与占位符相绑定。
火狐浏览器提示响应已被截断解决
xiaochongwu的专栏
05-17 419
netmonitor.responseBodyLimit 改为0,相当于禁用大小限制,保存之后即可。第一步:地址栏输入about:config。:JSON传递数据超过1M。
火狐浏览器提示响应已被截断(有效解决)
s_156的博客
07-04 820
在这里插入图片描述](https://img-blog.csdnimg.cn/b3b5063453824501b4249af9fe75eb58.png).netmonitor.responseBodyLimit 改为0,相当于禁用大小限制,保存之后即可。第一步:地址栏输入about:config。:JSON传递数据超过1M。
HTTP 响应截断攻击
yrx0619的专栏
12-28 6524
0x01 概念 产生原因:对用户提交的非法字符没有做过滤,主要是CR,LF字符的输入。 实现方法:通过构造request,使服务器返回响应时,将构造的request中数据一并返回,构造的数据可能是一个http响应的数据包,这样服务器就等于返回了两个response。 例如: Request A -----> web server (R1, R2) Request B -----> w...
CRLF注入(HTTP响应拆分-截断
m0_51468027的博客
03-27 3889
2023年HW厂商斗象面试题——CRLF注入
火狐浏览器中报“响应已被截断”提示
${王小贱}的博客
07-19 7714
这个提示一度让我以为是数据被截断了,实际上并没有。 我直接将数据赋值到文本文档中依然是正常的。
HTTP协议相关漏洞
qq_48904485的博客
03-22 9277
一、HTTP协议 HTTP是一个基于请求与响应模式的、无状态的应用层协议。 请求响应   客户端要向web服务器发送一个请求以后,等待服务器回送http响应消息。 无状态   http协议整个过程当中的各种信息不会被服务器所记录下来。 常基于TCP的连接方式 ,即http是将数据打包成TCP数据包来进行传送的,绝大多数Web应用,都是构建在HTTP协议之上,即目前使用浏览器访问web网站都是以http协议为标准的。 1、HTTP协议的方法 GET :请求获取Request-URI所标识的资源 POST :
不安全的http方法、CSRF等漏洞修复问题
01-07
不安全的 HTTP 方法、CSRF 等漏洞修复问题 在本文中,我们将讨论不安全的 HTTP 方法、CSRF 漏洞等问题的修复方法。 一、敏感信息泄露 敏感信息泄露是指攻击者可以通过访问网站目录直接下载文件,进入别的网页,...
golang设置http response响应头与填坑记录
09-20
在Golang中,HTTP响应是通过`net/http`包中的`ResponseWriter`接口来处理的。这个接口提供了设置响应状态码、添加响应头以及写入响应体等关键功能。本文将详细探讨如何设置HTTP响应头以及在编程过程中可能遇到的一些...
HTTP Headers-crx插件
04-02
显示当前页面的所有请求和响应HTTP标头。 HTTP标头是一个轻量级扩展,其中不包含任何第三方库,也没有用户跟踪。 它旨在让您快速查看Chrome发出的请求及其收到的响应的状态代码和标头。 标题始终按字母顺序列出,...
http引擎 top
02-16
- **HTTP响应对象**:包含HTTP响应的状态码、头部和主体内容。 - **连接管理器**:负责创建和维护到服务器的连接,可能包括连接池实现。 - **解析器**:解析接收到的HTTP数据流,生成响应对象。 - **发送器**:将...
HTTP服务响应数据不完整响应数据截断解决方法
很酷的站长的博客
10-15 2930
由于本地没有出问题的摄像头,需要启动HTTP服务器模拟Onvif协议,接收Onvif客户端发送过来的http请求并响应。在领导的帮助下找到思路,原因是onvif客户端发送的http请求未携带keep-alive头,导致该http连接不是长连接,HTTP服务端主动关闭。查看HTTP服务器源码,查找keep-alive。对onvif客户端的某一请求修改了ip和端口成功连接上HTTP服务器之后,请求成功,但是HTTP服务响应的xml数据被截断了,抓包显示HTTP服务器数据为发送完就关闭了连接。
无法加载响应数据no data found for resource with given identifier报错解决
热门推荐
tmuffamd的专栏
01-09 2万+
调用接口无返回结果
图解HTTP----web的攻击技术
xuan的博客
08-16 508
一、概述 互联网上的攻击大都将Web站点作为目标。 二、针对Web的攻击技术 (1)简单的HTTP协议本身并不存在安全性问题,因此协议本身几乎不会成为攻击对象。 (2)应用HTTP协议的服务器和客户端,以及运行在服务器上的Web应用等资源才是攻击目标。 (3)HTTP 不具备必要的安全功能 几乎现今所有的 Web 网站都会使用会话(session)管理、加密处理等安全性方面的功能,...
http响应截断攻击(响应拆分攻击)
weixin_44387972的博客
07-28 2475
利用CR,LF字符,匹配http报文的格式,实现服务端响应伪造报文,达到攻击目的。如,污染缓存代理服务器的响应缓存。 回车CR-将光标移动到当前行的开头。 换行LF-将光标“垂直”移动到下一行。(而并不移动到下一行的开头,即不改变光标水平位置) http一条请求对应一条响应的原则,在发起一次正常请求时,在请求数据中加入预定义好的响应信息用作伪造服务器的相应内容。 服务器会产生两个响应报文(一个正常响应,一个攻击者伪造的响应),这次正常的请求会返回正常的响应报文。伪造的响应由于没有能够映射的对应请求,
程序从http中获取数据,未进行验证就置于HTTP头文件中发给用户,可能会导致HTTP响应截断攻击。如何处理
06-09
为了防止HTTP响应截断攻击,需要进行以下处理: 1. 对从HTTP中获取的数据进行验证,验证数据的长度和内容是否符合要求。 2. 对HTTP头文件进行合法性检查,确保所有的HTTP头文件都是符合规范的。 3. 对响应内容进行编码,确保响应内容中不包含特殊字符,如回车符(CR)和换行符(LF)等。 4. 在响应头文件中添加Content-Length字段,确保响应内容的长度是正确的。 以上处理能够有效地防止HTTP响应截断攻击。同时,也需要注意及时更新服务器和应用程序的补丁,以确保系统的安全性。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值