漏洞名称:
HTTP响应拆分漏洞
漏洞风险:
[]存在 "网站用户资料泄露" 风险[/][]安全性降低40%[/][]全国 2% 网站有此漏洞, 31个站长进行了讨论[/]
检测时间:
2013-02-19 19:01:19
漏洞证据:
漏洞地址:
http://www.simiqa.com:80/topic/542?rf=%0d%0a%20SomeCustomInjectedHeader%3Ainjected_by_wvs
解决方案:
方案1. 限制用户输入的CR和LF,或者对CR和LF字符正确编码后再输出,以防止注入自定义HTTP头。
方案2. 查看:小议网站HTTP响应拆分漏洞 (感谢站长 vfhky 提供以上解决方案)
阅读全文
收起全文
