科讯cms Item/filedown.asp存在高危漏洞怎么修复?

2016年07月05日 |发布者:佚名  点击:
描述:

HTTP响应拆分漏洞,也叫CRLF注入攻击。CR、LF分别对应回车、换行字符。
 

HTTP头由很多被CRLF组合分离的行构成,每行的结构都是“键:值”。如果用户输入的值部分注入了CRLF字符,它有可能改变的HTTP报头结构。
 

危害:

攻击者可能注入自定义HTTP头。例如,攻击者可以注入会话cookie或HTML代码。这可能会进行类似的XSS(跨站点脚本)或会话固定漏洞。

解决方法:

限制用户输入的CR和LF,或者对CR和LF字符正确编码后再输出,以防止注入自定义HTTP头。


转载请注明 文章出自:http://www.juhuiwangluo.com/jswz/cxwz/2832.html

转载请注明 文章出自:www.juhuiwangluo.com/jswz/cxwz/2832.html
返回顶部