Java 如何修复HTTP响应头注入/HTTP响应拆分
我有一个J2EE web应用程序,使用Burp Scanner Suite进行的扫描报告了以下HTTP响应头注入漏洞。Java 如何修复HTTP响应头注入/HTTP响应拆分,java,security,Java,Security,我有一个J2EE web应用程序,使用Burp Scanner Suite进行的扫描报告了以下HTTP响应头注入漏洞。 问题是,当在请求头/参数中注入CRLF字符时,我们只是从请求中删除这些字符,以避免响应分裂问题,但Burp Scanner套件仍将其报告为高问题 所以我的问题是,“仅仅从请求中删除CRLF字符以避免HTTP响应拆分问题并允许请求继续进行,这还不够吗?或者当在请求中发现此类字符时,我们是否应该抛出异常?如果已经删除了CRLF字符,这会有什么危害。有人能用一个例子解释一下吗?[打嗝
问题是,当在请求头/参数中注入CRLF字符时,我们只是从请求中删除这些字符,以避免响应分裂问题,但Burp Scanner套件仍将其报告为高问题 所以我的问题是,“仅仅从请求中删除CRLF字符以避免HTTP响应拆分问题并允许请求继续进行,这还不够吗?或者当在请求中发现此类字符时,我们是否应该抛出异常?如果已经删除了CRLF字符,这会有什么危害。有人能用一个例子解释一下吗?[打嗝扫描仪报告的问题截图]:
从用户输入中筛选CRLF字符足以纠正此发现。从您的屏幕截图可以看出此发现无效,因为它不会导致响应标题中出现任何换行 如果它易受攻击,您可能会看到如下情况:
HTTP/1.1 302 Moved Temporarily
Date: Tue, 21 Mar ....
...
...
Location: https://MachineName1.Domain1/base/home?1bqfh
ob2ym=1
...