漏洞描述 Apache HTTP Server 2.2.x到2.2.21在构造Bad Request(又称400)错误文档时没有正确限制头信息,允许远程攻击者通过涉及(1)long或(2)的向量获取HTTPOnly cookie的值。 )格式错误的标题与精心制作的网页脚本相结合。 你如何利用" Apache httpOnly cookie披露"?
答案 0 :(得分:1)
有利用这个的先决条件:
XSS用于
以下是注入的javascript的示例:
http://fd.the-wildcat.de/apache_e36a9cf46c.php
这是另一个:
https://gist.github.com/1955a1c28324d4724b7b/7fe51f2a66c1d4a40a736540b3ad3fde02b7fb08