crlf注入漏洞 java解决办法_HTTP响应拆分漏洞(CRLF注入攻击)解决办法

最新推荐文章于 2024-04-15 03:21:09 发布
最新推荐文章于 2024-04-15 03:21:09 发布
阅读量1.8k 收藏
点赞数
文章标签: crlf注入漏洞 java解决办法
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39713805/article/details/114388152
版权

HTTP响应拆分漏洞(也叫CRLF注入攻击)解决办法。出现HTTP响应拆分漏洞的网站攻击者可能注入自定义HTTP头。例如,攻击者可以注入会话cookie或HTML代码。这可能会进行类似的XSS(跨站点脚本)或会话固定漏洞。

出现HTTP响应拆分漏洞这种现象往往表现在带有参数传递的网页,例如http://www.xxxx.com/?page=传递的参数。大家经常见到的wordpress评论调转即有类似现象$redirect = $_GET[‘r’];

运用PHP语法中的正则表达式ereg_replace或者字符串处理函数str_replace进行操作。代码如下:

在原来的$redirect = $_GET[‘r’];下面加入

$redirect = trim($redirect);

$redirect = strip_tags($redirect,""); //清除HTML如
等代码

$redirect = ereg_replace("\t","",$redirect); //去掉制表符号

$redirect = ereg_replace("\r\n","",$redirect); //去掉回车换行符号

$redirect = ereg_replace("\r","",$redirect); //去掉回车

$redirect = ereg_replace("\n","",$redirect); //去掉换行

$redirect = ereg_replace(" ","",$redirect); //去掉空格

$redirect = ereg_replace("’","",$redirect); //去掉单引号

或者

$redirect = trim($redirect);

$redirect = strip_tags($redirect,""); //清除HTML如
等代码

$redirect = str_replace("\n", "", str_replace(" ", "", $redirect));//去掉空格和换行

$redirect = str_replace("\t","",$redirect); //去掉制表符号

$redirect = str_replace("\r\n","",$redirect); //去掉回车换行符号

$redirect = str_replace("\r","",$redirect); //去掉回车

$redirect = str_replace("’","",$redirect); //去掉单引号

$redirect = trim($redirect);

weixin_39713805
关注
服务器HTTP响应头安全性优化与漏洞修复方案
Bertram的博客
08-09 317
服务器HTTP响应头安全性优化与漏洞修复方案
web渗透--29--HTTP响应拆分漏洞
武天旭的博客
09-16 2065
1、漏洞名称: http response splitting attack、HTTP响应拆分漏洞 2、漏洞描述: HTTP响应拆分漏洞(CRLF)是一种新型的web攻击方案,它重新产生了很多安全漏洞包括:web缓存感染、用户信息涂改、窃取敏感用户页面、跨站脚本漏洞。这项攻击方案包括其衍生的一系列技术产生,是由于web应用程序没有对用户的提交进行严格过滤,导致非法用户可以提交一些恶意...
java代码审计-换行符CRLF注入
shelter1234567的博客
10-26 645
回车换行也会引发漏洞!...............
http响应拆分漏洞 java_如何使用ESAPI修复HTTP响应拆分漏洞
weixin_33335559的博客
02-23 1107
在最近运行findbugs(fb)之后,它抱怨一个:security-http响应拆分漏洞,以下代码触发它:String referrer = req.getParameter("referrer");if (referrer != null) {launchURL += "&referrer="+(referrer);}resp.sendRedirect(launchURL);基本上,“...
java http响应拆分漏洞_PHP漏洞全解(八)-HTTP响应拆分
weixin_35751412的博客
02-19 449
本文主要介绍针对PHP网站HTTP响应拆分,站在攻击者的角度,为你演示HTTP响应拆分HTTP请求的格式1)请求信息:例如“Get /index.php HTTP/1.1”,请求index.php文件2)表头:例如“Host: localhost”,表示服务器地址3)空白行4)信息正文“请求信息”和“表头”都必须使用换行字符(CRLF)来结尾,空白行只能包含换行符,不可以有其他空格符。下面例子发...
crlf注入漏洞 java解决办法_HTTP响应拆分/CRLF注入详解
weixin_36344678的博客
02-23 1292
HTTP响应拆分/CRLF注入详解一:前言HTTP响应拆分漏洞 是一种新型的web攻击方案,它从新产生了很多保险漏洞包括:web缓存沾染、用户信息涂改、窃取敏感用户页面、跨站脚本漏洞。这项攻击计划,包括其衍生的一系列技术产生,是因为web利用程序没有对用户的提交进行严格过滤,导致非法用户可以提交一些歹意字符,更具体来说,是对用户输入的CR 和LF字符不进行严厉的过滤。HTTP响应拆分漏洞 及...
java http 拆分_HTTP响应拆分漏洞(CRLF注入攻击漏洞)解决办法
weixin_34393451的博客
02-16 1387
360 推出的网站漏洞监测功能真的是很方便,在一定的时候也可以作为一个参考,最近我就使用了 360 网站监测功能发现了360 提示我的站点有"HTTP响应拆分漏洞(CRLF注入攻击漏洞)",这个是什么东东,完全不知道啊,经过一番百度之后发现使用这个漏洞还是很危险的,但是 wordpress 本身应该是不会出现这个问题,那么问题应该是出现在插件这个东西上了,经过仔细的检查之后,我终于发现了问题,也解...
HTTP响应拆分
热门推荐
Breeze的博客
08-13 1万+
HTTP相应拆分 描述 例子 HTTP相应拆分 翻译文章,原文:HTTP Response Splitting 描述 HTTP相应拆分发生在: 数据通过一个不信任的来源(地址)进入一个web应用,最常见的是HTTP请求 (攻击)数据在一个没有被验证恶意字符串的发送给web用户的HTTP相应头中 HTTP相应拆分是一个达到目的的手段,而它本身不是一个目的。它直截...
CRLF注入HTTP响应拆分-截断),2024年最新阿里P8大佬亲自讲解
最新发布
2401_83946826的博客
04-15 804
首先说说什么是会话固定攻击,会话固定攻击(session fixation attack)是利用应用系统在服务器的会话ID固定不变机制,借助他人用相同的会话ID获取认证和授权,然后利用该会话ID劫持他人的会话以成功冒充他人,造成会话固定攻击。测试的用例大家可能会觉得这漏洞没什么危害性,但试想一下:利用漏洞注入一个CRLF控制用户的Cookie,或者注入两个CRLF,控制返回给客户端的主体,该漏洞的危害不亚于XSS。根据插入的CRLF的个数不同,可设置任意的响应头,控制响应正文两个主要的利用办法。
【悟空云课堂】第二十二期:HTTP响应拆分漏洞(CWE-113)
Tianqi_Wukong的博客
01-20 718
【悟空云课堂】第二十二期:HTTP响应拆分漏洞 什么是HTTP响应拆分HTTP响应拆分是由于应用程序未对用户提交的数据进行严格过滤,如果用户输入的值中注入CRLF字符,有可能改变HTTP报头结构。 HTTP响应拆分漏洞,也叫CRLF注入攻击。CR、LF分别对应回车(即URL编码%0d或\r)、换行(即URL编码%0a或\n)字符。HTTP头由很多被CRLF组合分离的行构成,每行的结构都是“键:值”。 攻击者可以在HTTP标头中包含攻击的报文数据,从而让浏览器按照攻击者想要达到的目的进行HTTP响应
服务器http响应漏洞,HTTP协议头注射漏洞实例
weixin_36081327的博客
08-10 1693
HTTP 响应头文件中包含未经验证的数据会引发 cache-poisoning(缓存中毒)、cross-sitescripting、cross-user defacement(用户信息涂改)、page hijacking(网页劫持)、cookiemanipulation(cookie操作) 或 open redirect(重定向)。HTTP协议头注射以下情况中会出现 HTTP协议头注射漏洞: 1....
http响应截断攻击响应拆分攻击
weixin_44387972的博客
07-28 2528
利用CR,LF字符,匹配http报文的格式,实现服务端响应伪造报文,达到攻击目的。如,污染缓存代理服务器的响应缓存。 回车CR-将光标移动到当前行的开头。 换行LF-将光标“垂直”移动到下一行。(而并不移动到下一行的开头,即不改变光标水平位置) http一条请求对应一条响应的原则,在发起一次正常请求时,在请求数据中加入预定义好的响应信息用作伪造服务器的相应内容。 服务器会产生两个响应报文(一个正常响应,一个攻击者伪造的响应),这次正常的请求会返回正常的响应报文。伪造的响应由于没有能够映射的对应请求,
crlf注入
Vdieoo的博客
02-12 341
0x00 背景 CRLFInjection很少遇见,这次被我逮住了。我看zone中(http://zone.wooyun.org/content/13323)还有一些同学对于这个漏洞不甚了解,甚至分不清它与CSRF,我详细说一下吧。 CRLF是”回车+换行”(\r\n)的简称。在HTTP协议中,HTTPHeader与HTTPBody是用两个CRLF分隔的,浏览器就是根据这两个CRLF来取出HTTP内容并显示出来。所以,一旦我们能够控制HTTP消息头中的字符,注入一些恶意的换行,这样我们就能...
crlf注入漏洞 java解决办法_GitHub - lanzsec/java-sec-code: Java常见通用漏洞修复的代码以及利用payload...
weixin_35953401的博客
02-23 846
Java Security Code介绍该项目也可以叫做Java Vulnerability Code(Java漏洞代码)。每个漏洞类型代码默认存在安全漏洞(除非本身不存在漏洞),相关修复代码在注释里。具体可查看每个漏洞代码和注释。漏洞代码漏洞说明如何运行Tomcat生成war包 mvn clean package将target目录的war包,cp到Tomcat的webapps目录重启Tomcat...
怎么解决修改“HTTP响应拆分漏洞”?怎么修改ASP,down.asp
c0hui的专栏
10-28 1931
怎么解决修改“HTTP响应拆分漏洞”?怎么修改ASP,down.asp 偶看网络营销博客通过360网站安全监测出现——HTTP响应拆分漏洞(WASC Threat Classification) 该漏洞的危害:攻击者可能注入自定义HTTP头。例如,攻击者可以注入会话cookie或HTML代码。这可能会进行类似的XSS(跨站点脚本)或会话固定漏洞。 解决方案:限制用户输入的CR和LF,
JAVA防止CRLF攻击,使Git“LF将被CRLF替换”警告消失
weixin_29147347的博客
02-26 376
I have setup Git so it doesn't commit inconsistent line endings. The problem with that is a whole pile of files appear modified even though they are not. What do I type to make these files have the li...
java crlf_怎么用JAVA的api去读取一个文本文件,换行符必须采用CRLF("\r\n")
weixin_42300418的博客
02-12 447
首先在http://ostermiller.org/utils/download.html 上下载com.Ostermiller.util cvs的jar包.有了这个jar包就可以写个工具类,专门控制csv文件的读取操作.public class CsvFileParser{private LabeledCSVParser csvParser;//csvParserprivate int curr...
CRLF Injection 攻击
|独自望海。。。
11-13 1185
PHP 的 fopen(), file() 及其它函数存在一个缺陷,即用户随意地添加额外HTTP报头信息到HTTP请求数据包中。攻击者可以利用此缺陷绕过服务器的安全限制,进行非法访问。在某些情况下,这个缺陷甚至可以打开任意的网络连接,在代理端执行PHP脚本和打开邮件转发。 PHP 有一些函数用文件名(如:fopen(), file()等)作为它们的参数。如果在php.ini中allow_url_f
java http 拆分_HTTP的曲折:网络请求到层层封装和终端拆分
weixin_34010461的博客
02-16 510
作为程序员的我们每天都在和网络请求打交道,而前端程序员接触的最多的就是HTTP请求。平时工作中,处理网络请求之类的操作是最多的了。但是一个请求从客户端发出到被服务端处理、再回送响应,再被客户端接收这一个闭环的底层细节可能并没有深究过。本文由源中瑞IT徐瑞ruiecjo编辑,如文中某些点如果表述有误,欢迎指出,不胜感激。从输入URL到页面展现的过程输入URL后,会先进行域名解析。优先查找本地host...
crlf注入漏洞复现
08-09
CRLF注入漏洞是一种常见的网络安全漏洞,它在代码中未对输入进行正确的过滤和验证,导致攻击者可以利用换行符(CRLF:Carriage Return Line Feed)来执行恶意代码或实施其他攻击。 要复现CRLF注入漏洞,首先需要...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值