Nonintendoapprofondirel'attaccodisuddivisionedellarispostaHTTPcomesopralafigurachecompletadescriveilfunzionamentoditaleattacco.Postprecedentehannoanchediscussoilfunzionamentoditaleattacco
La mia domanda piuttosto confusa è che esiste una visione nella comunità che tali attacchi non sono più possibili e sono mitigati dal framework sottostante. Quali sono le strategie di mitigazione? sono lato client o lato server ecc. Trovo anche la mancanza di riferimenti autenticati a questo riguardo.
Quanto a Response Splitting, l'applicazione vulnerabile consente l'iniezione a livello di intestazioni di risposta http. Quindi ci deve essere un vettore di attacco in app che consenta di inserire input non filtrati nella sezione di risposta dell'intestazione.
Oggi i framework (come .net o J2EE, e probabilmente altri) offrono ai programmatori un'API che può essere utilizzata per mitigare / eliminare tali attacchi (nel codice lato server). Ma come tutti sappiamo "è impossibile prevedere le conseguenze dell'essere intelligenti", così gli sviluppatori possono evitare completamente tali protezioni, lasciando l'applicazione vulnerabile a tali attacchi.
Quindi non esiste una risposta rigida sì / no. Dipende dall'immaginazione degli sviluppatori.
Leggi altre domande sui tag webserver threat-mitigation response-splitting