Ich habe den Abschnitt über Header-Injektionen wie hier beschrieben gelesen: http://guides.rubyonrails.org/security.html. Aber ich kann nicht Schritt für Schritt durch ein Beispiel in meinem Kopf gehen. Kann mir jemand ein Beispiel zeigen, wie die Verwendung des Referer-Headers Probleme in einer Anwendung verursachen kann?Wie funktioniert Header Injection?
Antwort
Es ist sehr einfach: Ein böswilliger Benutzer in früheren Versionen von Ruby und RoR ein secuence von URL codierten Zeichen aufgrund einer Schwachstelle eingeben „% 0D% 0A“ daß das Äquivalent für „\ r \ sind n "das ist ein Wagenrücklauf und Zeilenvorschub.
Auf diese Weise können neue Zeilen in der Kopfzeile mit neuen Informationen wie Cookies, Umleitungen, Referrer und anderen Informationen versehen werden, die dem Angreifer helfen können, seinen Zweck zu erfüllen.
Als Beispiel vielleicht ist die in der Verbindung, die Sie gesendet haben, nicht gerade die beste, aber denken Sie an eine Cookie-Validierung für den Zugriff auf eine private Website. Einige Websites suchen nach einem Cookie mit einem Wert wie "wahr" oder "1", nachdem der Benutzer den Validierungsprozess durchlaufen hat. Wenn Sie den Cookie-Wert in den Header einfügen, ohne den Validierungsprozess zu bestehen, sollten Sie auf die privaten Seiten zugreifen, ohne sich in der Anwendung anmelden zu müssen.
- 1. Http Header Injection Test
- 2. Setter Injection funktioniert nicht
- 3. Laravel Dependancy Injection funktioniert nicht
- 4. SQL-Injection funktioniert nicht richtig
- 5. Aurelia Dependency Injection Dekorator funktioniert nicht
- 6. Dolch 2 Dependency Injection funktioniert nicht
- 7. Expires-Header funktioniert nicht
- 8. header() php funktioniert nicht
- 9. Wie funktioniert der Header in PHP?
- 10. Dependency Injection
- 11. PHP-Header Redirect funktioniert nicht
- 12. PHP: redirect "header()" funktioniert nicht
- 13. Alamofire benutzerdefinierten Header funktioniert nicht
- 14. Wie weit erreicht Dependency Injection?
- 15. Dependency-Injection
- 16. Property Injection in einen Aktionsfilter
- 17. mongoDB injection
- 18. Dependency Injection für ASP.NET WebAPI ActionFilters mit Ninject funktioniert nicht
- 19. Erläuterung bestimmten SQL-Injection
- 20. Dependency Injection mit node.js
- 21. Dependeny Injection und Teilklasse
- 22. Ninject 2 Property Injection für Action nicht funktioniert
- 23. angular injection wenn minify
- 24. Inheritance dependency injection simplification
- 25. Dependency Injection - Layered Application
- 26. Dependency Injection in XPCOM
- 27. Property Injection auf Attribute
- 28. As3 swf bytecode injection
- 29. agGrid: benutzerdefinierte Header-Spaltenbindung funktioniert nicht
- 30. sql injection Boolesche Syntax