社区
Java EE
帖子详情
安全报告扫描现实有CRLF injection/HTTP response splitting问题,有大神帮忙解决下吗
yY930610
2017-11-30 04:28:36
在线等大神解答 谢谢
...全文
539
4
打赏
收藏
安全报告扫描现实有CRLF injection/HTTP response splitting问题,有大神帮忙解决下吗
在线等大神解答 谢谢
复制链接
扫一扫
分享
转发到动态
举报
AI
作业
写回复
配置赞助广告
用AI写文章
4 条
回复
切换为时间正序
请发表友善的回复…
发表回复
打赏红包
陈阿曼_
2018-06-20
打赏
举报
回复
//遇到同样的问题,通过java web filter 过滤特定字符解决此问题,同时也过滤掉SQL注入,XSS 相关的特定敏感字符
陈阿曼_
2018-06-20
打赏
举报
回复
//遇到同样的问题,通过java web filter 过滤特定字符解决此问题,同时也过滤掉SQL注入,XSS 相关的特定敏感字符
// 获取请求所有参数,校验防止SQL注入,防止XSS漏洞
Enumeration<?> params = req.getParameterNames();
String paramN = null;
while (params.hasMoreElements()) {
paramN = (String) params.nextElement();
paramN = new String(URLDecoder.decode(paramN,"iso8859-1").getBytes("iso8859-1"),"gbk");
//此处应对Unicode转码问题,测试环境未发现此问题,防止正式环境出现此问题
if(isSpecialChar(paramN) || isChineseByBlock(paramN)){
errorResponse(response, paramN);
return;
}
String paramVale = req.getParameter(paramN);
if (!paramN.toLowerCase().contains("password")) {
logger.info(paramN + "==" + paramVale);
}
if (isNoticeUrl) {
paramVale = xssEncode(paramVale);
}
// 校验是否存在SQL注入信息
if (checkSQLInject(paramVale, url)) {
errorResponse(response, paramN);
return;
}
}
// arg2.doFilter(req, response);
arg2.doFilter(arg0, arg1);
陈阿曼_
2018-06-20
打赏
举报
回复
//遇到同样的问题,通过java web filter 过滤特定字符解决此问题,同时也过滤掉SQL注入,XSS 相关的特定敏感字符
// 获取请求所有参数,校验防止SQL注入,防止XSS漏洞
Enumeration<?> params = req.getParameterNames();
String paramN = null;
while (params.hasMoreElements()) {
paramN = (String) params.nextElement();
paramN = new String(URLDecoder.decode(paramN,"iso8859-1").getBytes("iso8859-1"),"gbk");
//此处应对Unicode转码问题,测试环境未发现此问题,防止正式环境出现此问题
if(isSpecialChar(paramN) || isChineseByBlock(paramN)){
errorResponse(response, paramN);
return;
}
String paramVale = req.getParameter(paramN);
if (!paramN.toLowerCase().contains("password")) {
logger.info(paramN + "==" + paramVale);
}
if (isNoticeUrl) {
paramVale = xssEncode(paramVale);
}
// 校验是否存在SQL注入信息
if (checkSQLInject(paramVale, url)) {
errorResponse(response, paramN);
return;
}
}
// arg2.doFilter(req, response);
arg2.doFilter(arg0, arg1);
yY930610
2017-11-30
打赏
举报
回复
是发现 不是现实 打错字
【常见Web应用
安全
问题
】---7、
CRLF
inject
ion
Web应用程序的
安全
性
问题
依其存在的形势划分,种类繁多,这里不准备介绍所有的,只介绍常见的一些。 常见Web应用
安全
问题
安全
性
问题
的列表: 1、跨站脚本攻击(CSS or XSS, Cross Site Scrip
ting
) 2、SQL注入攻击(SQL
inject
ion
) 3、远程命令执行(Code execut
ion
,个人觉得译成代码执行并不确切)
CRLF
Inject
ion
(
CRLF
注入)
CRLF
是”回车 + 换行”(\r\n)的简称。在
HTTP
协议中,
HTTP
Header与
HTTP
Body是用两个
CRLF
分隔的,浏览器就是根据这两个
CRLF
来取出
HTTP
内容并显示出来。所以,一旦能够控制
HTTP
消息头中的字符,注入一些恶意的换行,这样就能注入一些会话Cookie或者HTML代码,所以
CRLF
Inject
ion
又叫
HTTP
Response
Split
ting
,简称HRS。HRS是比XSS危害更大的
安全
问题
。
Nginx 配置错误导致漏洞
CRLF
注入漏洞
CRLF
是”回车 + 换行”(\r\n)的简称,即我们都知道在
HTTP
协议中,
HTTP
Header与
HTTP
Body是用两个
CRLF
分隔的,浏览器就是根据这两个
CRLF
来提取
HTTP
内容 一旦我们能够控制
http
头,通过注入一些
CRLF
这样就可以控制header和body的分割线,这样我们就可以向body或是header中注入些东西了。所以
CRLF
Inject
ion
又叫H...
crlf
注入漏洞 java
解决
办法_
HTTP
响应头拆分/
CRLF
注入详解
HTTP
响应头拆分/
CRLF
注入详解一:前言
HTTP
响应头拆分漏洞 是一种新型的web攻击方案,它从新产生了很多保险漏洞包括:web缓存沾染、用户信息涂改、窃取敏感用户页面、跨站脚本漏洞。这项攻击计划,包括其衍生的一系列技术产生,是因为web利用程序没有对用户的提交进行严格过滤,导致非法用户可以提交一些歹意字符,更具体来说,是对用户输入的CR 和LF字符不进行严厉的过滤。
HTTP
响应头拆分漏洞 及...
JAVA防止
CRLF
攻击_
CRLF
攻击的一篇科普:新浪某站
CRLF
Inject
ion
导致的
安全
问题
(转)...
CRLF
Inject
ion
很少遇见,这次被我逮住了。我看zone中(
http
://zone.wooyun.org/content/13323)还有一些同学对于这个漏洞不甚了解,甚至分不清它与CSRF,我详细说一下吧。
CRLF
是”回车+换行”(\r\n)的简称。在
HTTP
协议中,
HTTP
Header与
HTTP
Body是用两个
CRLF
分隔的,浏览器就是根据这两个
CRLF
来取出
HTTP
内容并...
Java EE
67,550
社区成员
225,863
社区内容
发帖
与我相关
我的任务
Java EE
J2EE只是Java企业应用。我们需要一个跨J2SE/WEB/EJB的微容器,保护我们的业务核心组件(中间件),以延续它的生命力,而不是依赖J2SE/J2EE版本。
复制链接
扫一扫
分享
社区描述
J2EE只是Java企业应用。我们需要一个跨J2SE/WEB/EJB的微容器,保护我们的业务核心组件(中间件),以延续它的生命力,而不是依赖J2SE/J2EE版本。
社区管理员
加入社区
获取链接或二维码
近7日
近30日
至今
加载中
查看更多榜单
社区公告
暂无公告
试试用AI创作助手写篇文章吧
+ 用AI写文章