Whitelist per richiesta HTTP

Naviga le tue risposte
2

La richiesta dannosa può presentarsi sotto forma di stringa dell'agente utente, referente o cookie. Per evitare di essere impiccato da attacchi zero day come Shellshock, ho creato una whitelist di caratteri per la stringa user-agent: 

a-zA-Z0-9,.:;?/ ~!@()+_-

Quanto sopra è utile ed efficace? Inoltre, qualcuno ha un elenco di caratteri accettabili per referrer, cookie, URI di richiesta e stringa di query?

    
posta user68811 21.02.2015 - 09:56
fonte

1 risposta

1

Questo in realtà non è utile o efficace, protegge solo specificamente da shellshock (e con la quantità di pubblicità ricevuta sono abbastanza fiducioso che un simile attacco non si ripeterà più.)

Dovrei anche sottolineare che la tua whitelist in realtà non proteggerebbe un sistema che è stato effettuato da shellshock.

    
risposta data 25.02.2015 - 07:56
fonte

Leggi altre domande sui tag

Utilizzo di INTO OUTFILE con INSERT È necessario crittografare il nonce nella comunicazione crittografica?