¿Java javax.servlet.http.HttpServletResponse sendRedirect () reemplaza automáticamente el retorno de carro (% 0d% 0a) para evitar el ataque de división de encabezado Http?

Question

¿Java javax.servlet.http.HttpServletResponse sendRedirect () reemplaza automáticamente el retorno de carro (% 0d% 0a) para evitar el ataque de división de encabezado Http?

#1 de paj28 (1 votos)

1

Acabo de intentar demostrar un programa de aplicación web simple para simular el ataque de división de encabezado HTTP, pero fallé. Me doy cuenta de que esta función sendRedirect () ha filtrado el retorno de mi carro y reemplazarlo al espacio (% 20). Quiero confirmar si estoy en lo correcto o si estoy haciendo el camino equivocado. Cualquier comentario y sugerencia son bienvenidos.

Para su información

Información del servidor: GlassFish Server Open Source Edition 4.0
Versión de Servlet: 3.0
versión JSP: 2.1
versión de Java: 1.7.0_51

http java injection

pregunta overshadow 09.09.2014 - 07:34

fuente

1 respuesta

Lea otras preguntas en las etiquetas http java injection

Early ChangeCipherSpec Attack Instalé algún software a través de una red inalámbrica pública insegura. ¿Debo considerarme comprometido?

score 1 · Accepted Answer

Sí, GlassFish filtra los caracteres de nueva línea en los encabezados. Tomcat también lo hace. No sé sobre otros contenedores de servlets (Jetty, WebSphere, etc.)

com.sun.net.httpserver NO filtra las nuevas líneas, así que puedes usar eso para tu simulación.