Java javax.servlet.http.HttpServletResponse sendRedirect () sostituisce automaticamente il ritorno a capo (% 0d% 0a) per impedire l'attacco Http Header Splitting?

1

Ho appena provato a dimostrare un semplice programma di app Web per simulare l'attacco Http Header Splitting ma non ci sono riuscito. Mi rendo conto che questa funzione sendRedirect () ha filtrato il mio ritorno a capo e sostituito nello spazio (% 20). Voglio confermare se ho ragione o sto facendo la strada sbagliata. Qualsiasi commento e suggerimento sono ben accetti.

Per vostra informazione

  • Informazioni sul server: GlassFish Server Open Source Edition 4.0
  • Versione servlet: 3.0
  • Versione JSP: 2.1
  • Versione Java: 1.7.0_51
posta overshadow 09.09.2014 - 07:34
fonte

1 risposta

1

Sì, GlassFish filtra i caratteri di nuova riga nelle intestazioni. Anche Tomcat. Non conosco altri contenitori servlet (Jetty, WebSphere, ecc.)

com.sun.net.httpserver NON filtra i newline, quindi puoi usarli per la tua simulazione.

    
risposta data 09.09.2014 - 11:04
fonte

Leggi altre domande sui tag