防止修改 Apache 中的 http 响应标头

【问题标题】:Prevent modifying http response headers in Apache防止修改 Apache 中的 http 响应标头
【发布时间】:2017-05-26 11:46:26
【问题描述】:

我在我的网站上运行了安全扫描,扫描报告在下面的 URL 中显示了安全线程,说“/catalog/product/view/id 的 REST 样式参数中的 HTTP 标头注入漏洞”

以下 URL 在 HTTP 响应标头中添加自定义标头 XSaint:test/planting-a-stake/category/99。(请参阅响应标头中的最后一行)

我尝试了不同的解决方案,但没有运气!谁能建议我阻止修改 HTTP 响应标头。

网址:/catalog/product/view/id/1256/x%0D%0AXSaint:%20test/planting-a-stake/category/99

响应标头:

Cache-Control:max-age=2592000
Content-Encoding:gzip
Content-Length:253
Content-Type:text/html; charset=iso-8859-1
Date:Fri, 26 May 2017 11:27:12 GMT
Expires:Sun, 25 Jun 2017 11:27:12 GMT
Location:https://www.xxxxxx.com/catalog/product/view/id/1256/x
Server:Apache
Vary:Accept-Encoding
XSaint:test/planting-a-stake/category/99

【问题讨论】:

    标签: php apache .htaccess security nginx


    【解决方案1】:

    HTTP 标头注入漏洞与有人在您的应用程序中注入可用于插入任意标头的数据有关(请参阅https://www.owasp.org/index.php/HTTP_Response_Splitting)。

    在这种特定情况下,扫描程序假定漏洞可能来自放置在 Location 标头中的 URI:

    Location:https://www.xxxxxx.com/catalog/product/view/id/1256/x

    这里需要保证放入这个URI的数据不能嵌入行返回字符,引用OWASP HTTP Response Splitting页面:

    CR(回车,也由 %0d 或 \r 给出)

    LF(换行,也由 %0a 或 \n 给出)

    【讨论】:

      猜你喜欢
      • 2011-02-01
      • 1970-01-01
      • 2017-02-08
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      相关资源
      最近更新 更多
      热门标签
      Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode