3

応答ヘッダーでユーザー定義のパラメーターを直接渡します。私が学んだことは、ユーザーがヘッダーを操作でき、クロスサイトスクリプティング攻撃や他の種類の複数の攻撃につながる可能性があるため、良い考えではありません。

https://www.fortify.com/vulncat/en/vulncat/python/header_manipulation.html

これを防ぐために私が行っているのは、「\r」と「\n」の文字を空の文字列「」に置き換えて、「httpresponsespliting」のユーザー入力を検証することです。これで十分ですか、それとも他のキャラクターもチェックする必要があります。どんなポインタも大いに役立ちます。

これは私のコードです。

if(response != null)
  {
   newResponse = response.replaceAll("[\r\n]", "");
  }

この種の攻撃を防ぐにはこれで十分ですか、それとも他のキャラクターについても検証する必要があります。

4

2 に答える 2

3

ホワイトリストはブラックリストよりもはるかに安全です。ホワイトリストを使用できるかどうかは、ユーザー定義パラメーターについてどれだけ知っているかによって異なります。

詳細はこちら:

http://cwe.mitre.org/data/definitions/113.html

于 2012-04-24T08:12:58.913 に答える
0

あなたが提供する情報は、適切な答えを得るには不十分です。アクションが十分に優れているかどうか、およびコードが実行されている環境の種類を判断するには、パラメーター値をどのように処理するかを知る必要があります。短い、100%正しい(しかしかなり役に立たない)答えは「いいえ。"

セキュリティは、元のコンテキストの外で取られた単純な箇条書きに従うことによって実装されません。Pythonコンテキストから取得し、Javaコンテキストに直接配置しました。環境とコードの機能を完全に理解する必要があります。特効薬はありません。

于 2012-04-24T08:11:52.440 に答える