扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
在本页阅读全文(共3页)
应对措施:
◆响应拆分攻击:使用服务器端验证机制,并禁止全部用户在任何与响应头有关的输入请求中使用回车换行符(即CRLF)。
◆XSS攻击:引入白名单、黑名单过滤机制(输入验证)以及Escape HTML(输出验证)。
◆CSRF攻击:使用AntiCsrf语言符号,这样攻击者就无法准确预测目标结构,自然也不能对其加以伪造了。
结论:
响应拆分式攻击只能在多个用户使用相同代理服务器连接不同网站时奏效。代理服务器的缓存一旦受到感染,用户就会在从代理服务器缓存中读取该页面时遭到攻击。不过请注意,并非所有代理服务器都在响应拆分方面存在漏洞,虽然这算是句题外话。如果大家有兴趣进一步了解这种攻击,我强烈建议大家阅读由Amit Klein撰写的精彩论文(详见参考文献1)。
参考文献:
◆响应拆分攻击- http://packetstormsecurity.org/papers/general/whitepaper_httpresponse.pdf
◆XSS攻击 - http://www.technicalinfo.net/papers/CSS.html
◆XSS攻击应对措施-https://www.owasp.org/index.php/XSS_%28Cross_Site_Scripting%29_Prevention_Cheat_Sheet
◆CSRF攻击 - https://www.owasp.org/index.php/Cross-Site_Request_Forgery_%28CSRF%29
◆CSRF攻击应对措施- https://www.owasp.org/index.php/Cross-Site_Request_Forgery_%28CSRF%29_Prevention_Cheat_Sheet
◆B浏览器开发框架 - http://beefproject.com/
◆学习PHP(教程)- http://www.w3schools.com/php/
◆PHP函数 - http://php.net/quickref.php
◆已曝光的响应拆分漏洞汇总清单- http://cwe.mitre.org/data/definitions/113.html
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者