社区
系统维护与使用区
帖子详情
Apache httpOnly Cookie信息泄露漏洞如何解决
leveldrain
2012-05-16 04:05:09
请问Apache HTTP Server "httpOnly" Cookie信息泄露漏洞 如何解决
...全文
689
2
打赏
收藏
Apache httpOnly Cookie信息泄露漏洞如何解决
请问Apache HTTP Server "httpOnly" Cookie信息泄露漏洞 如何解决
复制链接
扫一扫
分享
转发到动态
举报
AI
作业
写回复
配置赞助广告
用AI写文章
2 条
回复
切换为时间正序
请发表友善的回复…
发表回复
打赏红包
leveldrain
2012-05-16
打赏
举报
回复
请问升级到什么版本合适
freetstar
2012-05-16
打赏
举报
回复
update the apache server,it has been fixed
安 全 排 查 与 防 御.pdf
不错的资料哦!
DVWA的压缩文件安装包下载
DVWA 适合与PHPstudy合用 用于建立靶场,网络安全的相关学习
Apache
httpOnly
Cookie
泄露
漏洞
修复方法
by thanks insightlabs里看到 http://insight-labs.org/?p=267
漏洞
原理分析就不多说了,文章里都有 但并未提到
漏洞
修补方法,正好在这做个补充。
漏洞
原理和过程: 1. 受害者中了跨站,浏览器发出携带超大
cookie
s的包 2. 服务器返回400错误,并会在respon
Apache
httponly
Cookie
泄露
对于xss攻击(窃取
cookie
),一个有效的方式是设置
httponly
属性,在
apache
2.2.X 很多版本,当
cookie
过长时,将返回
cookie
导致
cookie
泄露
这个POC试验失败-_-不知道为啥 开始时不知道ajax请求如何携带
cookie
发送,以为还是setRequestHeader。。,后来知道为了安全取消了这样的发送行为,可以通过设置document.
cookie
,这样发...
Apache
httpOnly
Cookie
泄露
分析与测试
Apache
HTTP Server 2.2.x多个版本没有正确严格限制HTTP请求头
信息
,HTTP请求头
信息
超过LimitRequestFieldSize长度时服务器返回400(Bad Request)错误,并在返回
信息
中将出错请求头内容爆出,攻击者可以利用该
漏洞
获取
httponly
cookie
s。 受影响版本: 2.2.21, 2.2.20, 2.2.19, 2.2.18, 2.2.17
系统维护与使用区
19,620
社区成员
74,588
社区内容
发帖
与我相关
我的任务
系统维护与使用区
系统使用、管理、维护问题。可以是Ubuntu, Fedora, Unix等等
复制链接
扫一扫
分享
社区描述
系统使用、管理、维护问题。可以是Ubuntu, Fedora, Unix等等
社区管理员
加入社区
获取链接或二维码
近7日
近30日
至今
加载中
查看更多榜单
社区公告
暂无公告
试试用AI创作助手写篇文章吧
+ 用AI写文章