使用fortify 扫描出的HeaderManipulation的漏洞.

最新推荐文章于 2024-01-31 17:16:18 发布
最新推荐文章于 2024-01-31 17:16:18 发布
阅读量5.9k 收藏 9
点赞数
分类专栏: fortify代码安全 文章标签: fortify 扫描出的漏洞.
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42998692/article/details/102716366
版权

使用fortify 扫描出的HeaderManipulation的漏洞.

HTTP响应截断:数据包含在一个 HTTP 响应头文件里,未经验证就发送给了 Web 用户。

HTTP 响应头文件中包含未验证的数据会引发 cache-poisoning、cross-site scripting、cross-user defacement、page hijacking、cookie manipulation 或 open redirect。
使用fortify 扫描项目代码,报出Header Manipulation的漏洞,在网上找了很长时间,没有怎么具体的解决办法.
针对 Header Manipulation 的解决方法是,确保在适当位置进行输入验证并检验其属性是否正确。

简单一点就是过滤掉特殊字符.代码如下:在这里插入代码片


String regex = "[`~!@#$%^&*()\\+\\=\\{}|:\"?><【】\\/r\\/n]";

Pattern pa = Pattern.compile(regex);

Matcher ma = pa.matcher(filename);

if(ma.find()){

 filename = ma.replaceAll("").trim();

}
冯艳龙
关注
  • 0
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
结合Coverity扫描Spring Boot项目进行Path Manipulation漏洞修复
oscar999的专栏
02-09 1561
本篇介绍使用Coverity 扫描基于Spring Boot 项目中的Path Manipulation 漏洞, 进而解决风险,并且可以通过扫描
fortify_rules_2019.12.25.zip
12-25
5. **报告和修复建议**:Fortify扫描后会生成详细的报告,列所有检测到的问题,并提供修复建议。这些问题通常按照严重性级别排序,帮助开发者优先处理最重要的问题。 6. **持续集成/持续部署(CI/CD)**:为了...
解决高风险代码:Header Manipulation
qq_45752401的博客
12-12 1798
CrossSite Scripting 是最常见的攻击形式,这种攻击在响应中包含了恶意的 JavaScript 或其他代码,并在用户的浏。因为攻击者创建的请求产生了两个响应,第一个被解析为针对攻击者请求做的响应,第二个则被忽略。和 LF 字符是 HTTP Response Splitting 攻击的核心,但其他字符,如“:”(冒号)和 ‘=’(等号),在响应标头。Manipulation 或 Open Redirects 的攻击,因此必须在设置带有用户输入的 HTTP 头文件时采取措施。
.Header Manipulation漏洞
张无忌_蜘蛛侠的博客
11-06 1万+
1)简介:以下情况中会Header Manipulation 漏洞: 1. 数据通过一个不可信赖的数据源进入 Web 应用程序,最常见的是 HTTP 请求。 2. 数据包含在一个 HTTP 响应头文件里,未经验证就发送给了 Web 用户。 如同许多软件安全漏洞一样,Header Manipulation 只是通向终端的一个途径,它本身并不是终端。从本质上看,这些漏洞是显而易见的:一个攻...
漏洞修复:Header Manipulation
CutelittleBo的博客
01-21 4469
漏洞介绍 假设在请求中提交了一个由标准的字母和数字字符组成的字符串,如 index.html,那么包含此 cookie 的 HTTP 响应可能表现为以下形式: HTTP/1.1 200 OK ... location: index.html ... 然而,因为该位置的值由未经验证的用户输入组成,所以仅当提交给 some_location 的值不包含任何 CR 和 LF 字符时,响应才会保留这种形式。 如果攻击者提交的是一个恶意字符串,比如 : index.html\r\nHTTP/1.1 200 OK\r
Header Manipulation 漏洞
copyright0501的博客
01-14 3484
今天扫代码发现漏洞, 暂定解决方法: //全局交易流水号 String esbTranNo = StringUtils.isNotBlank(getRequest().getHeader("ESB-TRANNO")) ? getRequest().getHeader("ESB-TRANNO") : ""; //检验Header Manipulation 输入验证并验证 其属性是否正确 if (StringUtils.isNotEmpty(esbTranNo)) { try { .
Fortify代码扫描问题及修复
热门推荐
michael_linux的博客,一个小小小学生。滴水穿石,步步为营,只为那刹那芳华。
09-07 1万+
静态代码扫描常见问题及修复 风险类型 原因 Code Correctness: Erroneous String Compare 字符串的对比使用错误方法 Cross-Site Scripting Web浏览器发送非法数据,导致浏览器执行恶意代码 Dead Code: Expression is Always true 表达式的判断总是true Dead Code: Unused Method 没有使用方法 HTTP Response Splitting 含有未验证的数据
记录一次header manipulation解决
YSF2017_3的博客
07-22 1万+
如题,最近在进行系统安全测试的时候,文件下载了点问题,fortify扫描header manipulation漏洞。因为接手的是别人的代码,很疑惑他当时为什么要用控制响应头的方法去进行文件下载传输。 原来的代码大概是这样的 @RequestMapping("files/download",method=RequestMethod.GET) public void download(@R...
Header Manipulation
lijunlinlijunlin的专栏
04-29 1万+
ABSTRACT HTTP 响应头文件中包含未验证的数据会引发 cache-poisoning、cross-site scripting、cross-user defacement、page hijacking、cookie manipulation 或 open redirect。 EXPLANATION 以下情况中会Header Manipulation 漏洞: 1. 数据通
fortify规则库: 2020.1.0.0009
03-17
使用2020.1.0.0009版Fortify规则库时,开发团队应该确保所有成员了解新引入的规则,以便在编码时遵循最佳安全实践,减少潜在的漏洞。同时,定期更新规则库是必要的,以保持对新兴威胁的防护能力。最后,结合...
fortify规则库: 2019.4.0.0009 fortify规则库: 2020.1.0.0009
10-27
Fortify安全编码规则包,包中含有2019年和2020年的,版本号可以自己看。 包括Fortify静态代码分析器(SCA...如今,MicroFocus Fortify软件安全性内容支持26种编程语言中的1,019个漏洞类别,涵盖了超过一百万个单独的API
fortify-headers-1.0.tar.gz
03-14
例如,它可以检测到不安全的内存操作、未初始化的变量、使用错误的函数参数等,并在编译阶段给警告或错误,从而避免在运行时现安全漏洞。 在实际应用中,使用Fortify Headers的步骤大致如下: 1. 将"fortify-...
Fortify-SCA-扫描工具指导手册.pdf
09-06
fortify扫描工具的说明手册,对实际工作有指导作用,讲的比较清晰。 Fortify SCA分析原理 Front-End 3rd party IDE Java Pug-In C/C++ MicrOsoL NET IBM.eclipse Audit workbench PLSQL XML Analysis Engine ...
开发安全之:Header Manipulation
irizhao的专栏
01-31 1394
假设在请求中提交了一个由标准字母数字字符组成的字符串,如“index.html”,则包含该 Cookie 的 HTTP 响应可能表现为以下形式: HTTP/1.1 200 OK ... location: index.html ... 然而,因为该位置的值由未经验证的用户输入组成,所以仅当提交给 some_location 的值不包含任何 CR 和 LF 字符时,响应才会保留这种形式。应用程序可能通过共享的数据存储器或其他可信赖的数据源接受输入,而该数据存储器所接受的输入源可能并未执行适当的输入验证。
Fortify常见漏洞解决方案
天行健,君子以自强不息;地势坤,君子以厚德载物。
09-26 6382
阅读文本大概需要3分钟。Log Forging漏洞:1.数据从一个不可信赖的数据源进入应用程序。在这种情况下,数据经由getParameter()到后台。2. 数据写...
关于header的操作
妖艳的许三多的博客
04-15 302
$.ajax({ type: ‘HEAD’, // 获取头信息,type=HEAD即可 url : “/login3”, dataType: “json”, data: data, complete: function( xhr,data ){ // 获取相关Http Response header var wpoInfo = { // 服务器端时间 “date” : xhr.getRespons...
常见fortify漏洞与整改规则
chastera的博客
04-07 2817
网页劫持:除了利用一个易受攻击的应用程序向用户传输恶意内容,还可以利用相同的根漏洞,将服务器生成的供用户使用的敏感内容重定向,转而供攻击者使用。攻击者通过提交一个会导致两个响应的请求,即服务器做的预期响应和攻击者创建的响应,致使某个中间节点(如共享的代理服务器)误导服务器所生成的响应,将本来应传送给用户的响应错误地传给攻击者。这时,攻击者将第二个请求发送给服务器,代理服务器利用针对受害者(用户)的、由该服务器产生的这一请求对服务器做响应,因此,针对受害者的这一响应中会包含所有头文件或正文中的敏感信息。
header manipulation 漏洞_iOS 13漏洞,苹果进行内部整改,iOS 14将采用新的开发方式...
weixin_39845220的博客
11-04 198
iOS 13正式推已经两个月多了,在短短的两个月的时间里,iOS 13大大小小的版本就推送更新了七八次,今年的iOS 13被认为是历史上漏洞和问题最多的iOS版本,苹果如此频繁推送iOS版本更新,大多数情况并不是要加入新的功能,而是为了修复上一个版本带来的问题。有很多小伙伴留言问,iOS 13哪个版本比较好,这个版本值不值得升。这问题真的太难了,相信关注iOS 13的小伙伴都知道,iOS 13每...
用交流和直流网络实现的西景电气中的飞机电力网simulink实现.rar
最新发布
09-10
1.版本:matlab2014/2019a/2024a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值