联系方式Contact
地址:江苏昆山市黑龙江中路108号中诚企业园三楼
邮编:215300
资讯热线:13405132033
邮箱:info@dingzhiheng.com
文章搜索Search

科讯cms Item/filedown.asp存在高危漏洞怎么修复?

2016年09月23月 |发布者:管理员  点击:

描述:

HTTP响应拆分漏洞,也叫CRLF注入攻击。CR、LF分别对应回车、换行字符。
 

HTTP头由很多被CRLF组合分离的行构成,每行的结构都是“键:值”。如果用户输入的值部分注入了CRLF字符,它有可能改变的HTTP报头结构。
 

危害:

攻击者可能注入自定义HTTP头。例如,攻击者可以注入会话cookie或HTML代码。这可能会进行类似的XSS(跨站点脚本)或会话固定漏洞。

解决方法:

限制用户输入的CR和LF,或者对CR和LF字符正确编码后再输出,以防止注入自定义HTTP头。

QQ在线咨询
客户服务热线:
13405132033
地址:
江苏昆山市黑龙江中路108号中诚企业园三楼