Java javax.servlet.http.HttpServletResponse sendRedirect () sostituisce automaticamente il ritorno a capo (% 0d% 0a) per impedire l'attacco Http Header Splitting?

Question

Java javax.servlet.http.HttpServletResponse sendRedirect () sostituisce automaticamente il ritorno a capo (% 0d% 0a) per impedire l'attacco Http Header Splitting?

#1 da (1 voti)

1

Ho appena provato a dimostrare un semplice programma di app Web per simulare l'attacco Http Header Splitting ma non ci sono riuscito. Mi rendo conto che questa funzione sendRedirect () ha filtrato il mio ritorno a capo e sostituito nello spazio (% 20). Voglio confermare se ho ragione o sto facendo la strada sbagliata. Qualsiasi commento e suggerimento sono ben accetti.

Per vostra informazione

Informazioni sul server: GlassFish Server Open Source Edition 4.0
Versione servlet: 3.0
Versione JSP: 2.1
Versione Java: 1.7.0_51

java http injection

posta overshadow 09.09.2014 - 07:34

fonte

1 risposta

Leggi altre domande sui tag java http injection

chiavi di ricerca crittografate per l'archivio di valori-chiave Come convertire il certificato SSL per l'app mobile?

score 1 · Accepted Answer

Sì, GlassFish filtra i caratteri di nuova riga nelle intestazioni. Anche Tomcat. Non conosco altri contenitori servlet (Jetty, WebSphere, ecc.)

com.sun.net.httpserver NON filtra i newline, quindi puoi usarli per la tua simulazione.