CWE ID 113: Improper Neutralization of CRLF Sequences in HTTP Headers (‘HTTP Response Splitting‘)

最新推荐文章于 2024-07-27 10:31:40 发布
原创 最新推荐文章于 2024-07-27 10:31:40 发布 · 1.1k 阅读 · 0 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
标签
#java
本文介绍了CWE ID 113,即HTTP响应拆分缺陷,它可能导致缓存中毒和跨站脚本攻击。为解决此问题,建议进行输入校验,如设定编码规范、过滤特殊符号,并推荐使用ESAPI库进行安全控制,通过引入依赖并设置请求头来增强HTTP头的安全性。

问题描述

HTTP响应拆分缺陷,当调用一个存在该缺陷的请求时,很容易受到攻击,将不受信任的内容写入HTTP请求头中,导致缓存中毒和跨站点脚本攻击。

解决方案

1、输入校验

注意规范构建 HTTP 请求头,避免使用未经验证的输入数据,对构建内容进行合法校验,如:设定编码规范(UTF-8)、创建黑名单过滤特殊符号(如"\n", “\r”)、封装Url请求等等。

2、使用 ESAPI 库修复

ESAPI是一个免费、开源的Web应用程序安全控制组件,对常见安全漏洞都提供对应的安全控制实现方法。

2.1 引入 ESAPI 依赖

<!-- https://mvnrepository.com/artifact/org.owasp.esapi/esapi -->
<dependency>
    <groupId>org.owasp.esapi</groupId>
    <artifactId>esapi</artifactId>
    <version>2.2.0.0</version>
</dependency>

2.2 通过ESAPI设置请求头

ESAPI.httpUtilities().setHeader(response, "requestId", requestId);

参考资料:

CWE – https://cwe.mitre.org/data/definitions/113.html

stackoverflow – https://stackoverflow.com/questions/55705862/improper-neutralization-of-crlf-sequences-in-http-headers

OWASP Enterprise Security API (ESAPI) – https://owasp.org/www-project-enterprise-security-api/

CWE通用缺陷对照表记录
weixin_45513192的博客
10-14 5553
CWE通用缺陷对照表记录 CWE-1 : Location CWE-113 : Improper Neutralization of CRLF Sequences in HTTP Headers (HTTP Response Splitting) CWE-116 : Improper Encoding or Escaping of Output CWE-118 : Improper Access of Indexable Resource (‘Range Error’) CWE-119 : Buffer
【悟空云课堂】第二十二期:HTTP响应拆分漏洞(CWE-113
Tianqi_Wukong的博客
01-20 942
【悟空云课堂】第二十二期:HTTP响应拆分漏洞 什么是HTTP响应拆分? HTTP响应拆分是由于应用程序未对用户提交的数据进行严格过滤,如果用户输入的值中注入了CRLF字符,有可能改变HTTP报头结构。 HTTP响应拆分漏洞,也叫CRLF注入攻击。CR、LF分别对应回车(即URL编码%0d或\r)、换行(即URL编码%0a或\n)字符。HTTP头由很多被CRLF组合分离的行构成,每行的结构都是“键:值”。 攻击者可以在HTTP标头中包含攻击的报文数据,从而让浏览器按照攻击者想要达到的目的进行HTTP响应。
CWE-113 HTTP响应截断 安全问题修复
最新发布
fxtxz2的专栏
07-27 1474
Java中设置响应头时,如果设置的是请求参数,则会造成非法请求参数修改响应头,从而拆分出多个响应。
CWE通用缺陷对照表
黑面狐
06-20 4842
CWE通用缺陷对照表记录CWE-1 : Location CWE-113 : Improper Neutralization of CRLF Sequences in HTTP Headers ('HTTP Response Splitting') CWE-116 : Improper Encoding or Escaping of Output CWE-118 : Improper Access...
crlf注入漏洞 java解决办法_HTTP响应头拆分/CRLF注入详解
weixin_36344678的博客
02-23 1497
HTTP响应头拆分/CRLF注入详解一:前言HTTP响应头拆分漏洞 是一种新型的web攻击方案,它从新产生了很多保险漏洞包括:web缓存沾染、用户信息涂改、窃取敏感用户页面、跨站脚本漏洞。这项攻击计划,包括其衍生的一系列技术产生,是因为web利用程序没有对用户的提交进行严格过滤,导致非法用户可以提交一些歹意字符,更具体来说,是对用户输入的CR 和LF字符不进行严厉的过滤。HTTP响应头拆分漏洞 及...
CRLF注入漏洞原理
alert['Hello World']
01-29 4738
漏洞原理   CRLF注入漏洞又称HTTP响应拆分漏洞(HTTP Response Splitting),攻击方式是将回车符、换行符注入到HTTP的响应包中。   HTTP响应包通常以两个换行符,去划分响应头与响应正文两个部分。当用户的操作足以控制响应头的内容时,将会出现CRLF漏洞。 换行符、回车符 回车符(CR,ASCII 13,\r,%0d) 换行符(LF,ASCII 10,\n,%0a) 漏洞环境搭建及复现讲解 漏洞源码: <?php $test = $_POST['test'];
Web系统常见漏洞修复
Desiy的博客
09-12 2327
在工作中,我们的交付团队在交付项目时,可能会遇到甲方会使用一些第三方工具(奇安信等)对项目代码进行扫描,特别是一些对安全性要求比较高的企业,比如涉及到一些证券公司、银行、金融等。他们会在项目上线前进行代码安全检测,通过了对方才会发布上线。正好我所在企业中的交付团队遇到了这种情况,我将最后我们团队针对一些漏洞的修复代码分享出来供大家参考,方便未来自己修复同样的漏洞,当然漏洞的种类不是很全,我会在以后遇到其他类型时及时更新。
java代码审计手书(三)
一个码农的笔记
11-24 1万+
翻译自:http://find-sec-bugs.github.io/bugs.htm 翻译:聂心明 在使用脚本引擎的时潜在的代码注入 漏洞特征:SCRIPT_ENGINE_INJECTION 请严格的评估动态代码。应该仔细分析代码的结构。恶意代码的执行会导致数据的泄露或者执行任意系统指令。 如果你想动态的运行代码,那么请找一个沙箱(见引用) 有害的代码: public void runCusto...
代码安全_弱点(脆弱性)分析 CWE、漏洞、防御机制
sun0322
03-30 2641
CWE Common Weakness Enumeration ■List ・CWE-117: Improper Output Neutralization for Logs   The software does not neutralize or incorrectly neutralizes output that is written to logs. http://...
【转】WEB安全-ESAPI
tpriwwq的专栏
07-17 2289
ESAPI是owasp提供的一套API级别的web应用解决方案。
CWE学习(一)
qq_44370676的博客
04-28 6321
CWECWE-20: Improper Input Validation示例代码1示例代码2CWE-22: Improper Limitation of a Pathname to a Restricted Directory示例代码1CWE-78: Improper Neutralization of Special Elements used in an OS Command示例代码1CWE-119: Improper Restriction of Operations within the Bound
ESAPI学习笔记
weixin_30487201的博客
12-22 1528
ESAPI是owasp提供的一套API级别的web应用解决方案,本人通过对ESAPI和其提供的demo源码学习发现,关键的不是对其所提供的API的使用,而是其web应用安全防御体系的构建的思想。比如,您不一定要使用ESAPI去实现日志系统,而是应该明白,一套好的日志系统应该是怎么样子的,应具备什么样的特性等。 此外,在引入使用时可能会遇到不少麻烦,所以读者应根据自身...
WEB安全之代码安全----ESAPI
一杯咖啡的渗透记忆
02-20 4860
ESAPI是owasp提供的一套API级别的web应用解决方案。简单的说,ESAPI就是为了编写出更加安全的代码而设计出来的一些API,方便使用者调用,从而方便的编写安全的代码 其官方网站为:https://www.owasp.org/,其有很多针对不同语言的版本,其J2ee的版本需要jre1.5及以上支持 安装篇 第一步:引入Jar Maven <dependency> ...
使用java代码方式解决XSS、Host Head漏洞问题
gmj53的专栏
08-04 1660
一、使用java代码方式解决XSS漏洞问题 1 ESAPI方式 1.1 引入jar包 compile('org.owasp.esapi:esapi:2.2.3.1') { exclude group: 'log4j', module: 'log4j' exclude group: 'org.slf4j', module: 'slf4j-simple' } 1.2 增加配置文件 1.2.1 ESAPI.properties配置文件内容 # 是否要打印配置属性,默认为true ESAPI.p
如何消除VeraCode检测中的CRLF Injection Issue(CWE ID 117)
打杂人
05-04 3828
Veracode是一个检测应用程序是否存在安全漏洞的工具,更多细节请访问http://www.veracode.com 这里主要总结一下如何消除Veracode检测结果中的CRLF(Carriage Return, Line Feed) Injection Issue(CWE ID 117)。 首先,先看看VeraCode对CRLF Injection Issue的定义: The a
response.setHeader()方法设置http文件头的值
热门推荐
yangf1275的专栏
01-23 3万+
8.1  HTTP应答头概述                  Web服务器的HTTP应答一般由以下几项构成:一个状态行,一个或多个应答头,一个空行,内容文档。设置HTTP应答头往往和设置状态行中的状态代码结合起来。例如,有好几个表示“文档位置已经改变”的状态代码都伴随着一个Location头,而401(Unauthorized)状态代码则必须伴随一个WWW-Authenticate头。     
jersey构建rest接口,ajax跨域访问(原因:CORS 头缺少 'Access-Control-Allow-Origin')
meng70345meng的专栏
12-07 3586
用jersey构建的接口,RestClient可以访问,但是当端进行访问的时候就会出错。 查阅一下资料 大概意思为 跨域请求,当域名不一样的时候,服务器会拒绝访问。 这时候需要加入过滤器来进行控制请求,允许访问服务器 以下为接口代码和过滤器代码 package com.limeng.test; import javax.ws.rs.GET; import javax.ws.rs.P...
CWE-460: Improper Cleanup on Thrown Exception(对引发的异常的清理不当)
plstudio1的博客
04-25 429
ID: 460 类型:变量 结构:简单 状态:草稿 描述 当抛出异常时,产品不会清除其状态或错误地清除其状态,从而导致意外的状态或控制流。 扩展描述 通常,当函数或循环变得复杂时,需要在整个执行过程中进行一定程度的资源清理。异常可能会干扰代码流,并防止发生必要的清理。 相关视图 与“研究层面”视图(CWE-1000)相关 ...
HTTP Response Splitting攻击探究 <转>
atwfz46402的专栏
06-12 334
第一小节:HTTP Basics:使用Proxy软件(例如Webscarab)来截断浏览器(客户端)和Server之间的HTTP通信,之后任意篡改得到预期结果即可。 第二小节:HTTP Splitting:(其实应该为HTTP Response Splitting) 分为两步 1、HTTP Splitting:通过注入HTTP request使得Server返回两个HTTP ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值