OWASP页面https://www.owasp.org/index.php/HTTP_Response_Splitting提及几乎所有现代Java EE应用服务器中都修复了此问题这意味着什么?应用服务器如何处理攻击?
答案 0 :(得分:0)
通常,防止HTTP响应拆分的一种方法是让Web框架确保它不允许换行符(\n)出现在标题中,即使程序调用API也是如此为HTTP响应添加额外的标头。请参阅OWASP的HTTP响应拆分材料和其他材料,以了解有关HTTP响应拆分攻击如何工作的更多信息,并了解为什么这是一个相关的防御。
答案 1 :(得分:0)
这是一次老袭击。它因Web服务器或中间代理中的漏洞而受到攻击。主要原因是解析他的HTTP消息。如今,它几乎已在所有现代Web服务器中得到修复。