Strategie di mitigazione per risposta Spliting Attack

3

Nonintendoapprofondirel'attaccodisuddivisionedellarispostaHTTPcomesopralafigurachecompletadescriveilfunzionamentoditaleattacco.Postprecedentehannoanchediscussoilfunzionamentoditaleattacco ASP.NET HTTP Response Splitting Attack .

La mia domanda piuttosto confusa è che esiste una visione nella comunità che tali attacchi non sono più possibili e sono mitigati dal framework sottostante. Quali sono le strategie di mitigazione? sono lato client o lato server ecc. Trovo anche la mancanza di riferimenti autenticati a questo riguardo.

    
posta Ali Ahmad 27.12.2012 - 08:39
fonte

1 risposta

4

Quanto a Response Splitting, l'applicazione vulnerabile consente l'iniezione a livello di intestazioni di risposta http. Quindi ci deve essere un vettore di attacco in app che consenta di inserire input non filtrati nella sezione di risposta dell'intestazione.

Oggi i framework (come .net o J2EE, e probabilmente altri) offrono ai programmatori un'API che può essere utilizzata per mitigare / eliminare tali attacchi (nel codice lato server). Ma come tutti sappiamo "è impossibile prevedere le conseguenze dell'essere intelligenti", così gli sviluppatori possono evitare completamente tali protezioni, lasciando l'applicazione vulnerabile a tali attacchi.

Quindi non esiste una risposta rigida sì / no. Dipende dall'immaginazione degli sviluppatori.

    
risposta data 27.12.2012 - 08:58
fonte

Leggi altre domande sui tag