程序師世界是廣大編程愛好者互助、分享、學習的平台,程序師世界有你更精彩!
設為首頁 加入收藏
首頁
編程語言
C語言|JAVA編程
Python編程
網頁編程
ASP編程|PHP編程
JSP編程
數據庫知識
MYSQL數據庫|SqlServer數據庫
Oracle數據庫|DB2數據庫
 程式師世界 >> 編程語言 >> 網頁編程 >> PHP編程 >> 關於PHP編程 >> PHP漏洞HTTP響應拆分分析與解決辦法

PHP漏洞HTTP響應拆分分析與解決辦法

編輯:關於PHP編程

其實http響應漏洞就是 CRLF注入攻擊漏洞了,解決辦法相對來講也比較簡單我們只要替換header中的CRLF基本可以解決,當然也可以在apache中httpd.conf,選項ServerTokens = Prod, ServerSignature = Off,php中php.ini,選項expose_php = Off即可。


首先我們分析 360 提供的漏洞頁面地址"/?r=XXXXX"馬上就可以發現問題,? 號碼後面是 r=XXXX 這個 r= 就是問題的所在了,在 PHP 當中這個 GET 形式的請求(在鏈接中直接表現出來的請求)一般都要過濾一些文字防止被入侵,而這個就沒有做這個操作,那麼我們找到了入口,就開始查看代碼吧,在全站中的所有文件中查找 $_GET['r'],如果你知道你的站點是哪個文件出現問題也可以直接去搜索這個文件,單引號中的 r 代表的是鏈接中 ?r= 中的 r,可以根據自己的要求修改。

 

馬上就發現了問題:


$redirect = $_GET['r'];

圖片中的代碼把 $_GET['r'] 直接給了 $redirect 變量,簡單的說現在 $redirect 就是 $_GET['r'] 了,一般情況下都是要這樣寫的,當然,變量的名稱可能會有變,既然找到了問題出處,那麼我們就只用過濾這個變量的內容就好啦。


PHP

 $redirect = trim(str_replace("r","",str_replace("rn","",strip_tags(str_replace("'","",str_replace("n", "", str_replace(" ","",str_replace("t","",trim($redirect))))),""))));

直接復制上面的所有代碼到 $redirect = $_GET['r'];

下面就好啦,現在再次檢查網站就不會出現這個問題了,希望大家看得懂,變量名稱可以根據自己的需要更換哦


HTTP響應拆分攻擊

HTTP響應拆分是由於攻擊者經過精心設計利用電子郵件或者鏈接,讓目標用戶利用一個請求產生兩個響應,前一個響應是服務器的響應,而後一個則是攻擊者設計的響應。此攻擊之所以會發生,是因為WEB程序將使用者的數據置於HTTP響應表頭中,這些使用者的數據是有攻擊者精心設計的。

可能遭受HTTP請求響應拆分的函數包括以下幾個:

header();        setcookie();        session_id();        setrawcookie();

HTTP響應拆分通常發生在:

Location表頭:將使用者的數據寫入重定向的URL地址內

Set-Cookie表頭:將使用者的數據寫入cookies內

實例:

<?php
    header("Location: " . $_GET['page']);
?>

請求

GET /location.php?page=http://www.00aq.com HTTP/1.1?
Host: localhost?

?

返回

HTTP/1.1 302 Found
Date: Wed, 13 Jan 2010 03:44:24 GMT
Server: Apache/2.2.8 (Win32) PHP/5.2.6
X-Powered-By: PHP/5.2.6
Location: http://www.00aq.com
Content-Length: 0
Keep-Alive: timeout=5, max=100
Connection: Keep-Alive
Content-Type: text/html

訪問下面的鏈接,會直接出現一個登陸窗口

http://localhost/location.php?page=%0d%0aContent-Type:%20text/html%0d%0aHTTP/1.1%20200%20OK%0d%0aContent-Type:%20text/html%0d%0aContent-Length:%20158%0d%0a%0d%0a<html><body><form%20method=post%20name=form1>帳號%20<input%20type=text%20name=username%20/><br%20/>密碼%20<input%20name=password%20type=password%20/><br%20/><input%20type=submit%20name=login%20value=登錄%20/></form></body></html>

轉換成可讀字符串為:

Content-Type: text/html

HTTP/1.1 200 OK

Content-Type: text/html

Content-Length: 158

 

<html><body><form method=post name=form1>帳號 <input type=text name=username /><br />密碼 <input name=password type=password /><br /><input type=submit name=login value=登錄 /></form></body></html>

一個HTTP請求產生了兩個響應

  1. 上一頁:
  2. 下一頁:
關於PHP編程
【php】使用phpdbg來調試php程序,phpdbg調試php程序

【php】使用phpdbg來調試php程序,phpdbg調試
PHP實現基於文本的摩斯電碼生成器,

PHP實現基於文本的摩斯電碼生成器,最近遇到一個基於輸入文本
如何去除dedeCMS後台登陸頁面的廣告

開源CMS dedeCMS自 5.7 版本後就在後台的登陸頁
PHP下使用強大的imagick輕松生成組合縮略圖,imagick縮略圖

PHP下使用強大的imagick輕松生成組合縮略圖,imag
網站開發系列1——服務器環境搭建,網站開發搭建

網站開發系列1——服務器環境搭建,網站開發搭建  首先,這系
深入剖析php執行原理(2):函數的編譯,深入剖析php

深入剖析php執行原理(2):函數的編譯,深入剖析php本文
相關文章
閱讀排行榜
解決:The FastCGI process exceeded configured 探究PHP正則表達式實現信息記錄 高級PHP V5 對象研究 PHP中date與gmdate的區別及默認時區設置 簡單分析ucenter 會員同步登錄通信原理,ucenter通信原理 Joomla數據庫操作之JFactory::getDBO用法,joomlagetdbo PHP編寫文件多服務器同步程序, php簡單去除大型文本重復 PHP仿博客園 個人博客(2) 數據庫增添改刪 PHP實現將科學計數法轉換為原始數字字符串的方法,計數字符串 php中判斷文件空目錄是否有讀寫權限的函數代碼
熱門圖文
ASP 快速參考 php幾個預定義變量$_SERVER用法小結 上機題目(初級)- Java網絡操作如何Socket實現客戶端和服務器端通信(Java) ubuntu c/c++ IDE編程環境(轉),ubuntuide Quick Sort In-place Implementation,quicksort 計算 ip udp tcp 效驗和 ACdreamoj1110(多重背包) 紅黑樹的介紹和實現(二)
欄目導航
PHP基礎知識PHP綜合PHP入門知識關於PHP編程
Copyright © 程式師世界 All Rights Reserved