网站的http头注入漏洞,如何解决

huanghuang 发布于 2011/06/10 09:31
阅读 2K+
收藏 2
现在使用tomcat6018 ,第三方检查出网站存在 http头注入 漏洞,让我们解决,请问可用什么方法解决?
加载中
0
西安鲲之鹏
西安鲲之鹏

这里的注入包括SQL注入和XSS注入。二楼的例子是XSS注入。

注入能够成功,是因为你程序中使用到了相关的数据,但是未经过严格过滤。

WVS可以检测出这些漏洞,并给出了检测数据示例。

0
鉴客
鉴客

如果有的话,都是应用程序的漏洞导致,把网站的 HTTP 头或者生成这个头的代码贴出来瞧瞧?

0
huanghuang
huanghuang

    http头注入漏洞

n        测试过程

构造如下请求:

 

GET http://www.xnmyx.cn:80/ HTTP/1.1

Expect: <script>alert(12345)</script>

Host: www.xnmyx.cn

Connection: Keep-alive

Accept-Encoding: gzip,deflate

User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.0)

Accept: */*

弹出预期的信息窗口12345,如下图:

说明在http头中注入代码成功。

0
richcem404
richcem404

这是如何做到的?

 

0
蟋蟀哥哥
蟋蟀哥哥

get中注入的..

 过滤下就解决了

0
dy810810
dy810810
学习。会不会是arp搞的。
0
huanghuang
huanghuang

引用来自“gamespoerleveling”的答案

get中注入的..

 过滤下就解决了

如何过滤,过滤条件是什么?

0
保罗的寓言
保罗的寓言
 设置 request.ServicePoint.Expect100Continue   =   false;   
0
huanghuang
huanghuang

引用来自“保罗的寓言”的答案

 设置 request.ServicePoint.Expect100Continue   =   false;   
刚查了一下request.ServicePoint.Expect100Continue   是.net 里面的
0
保罗的寓言
保罗的寓言
本人按照你给出的http请求头注入,并未发现你预期的结果。
返回顶部
顶部