CGI 通用标头注入

medium Nessus 插件 ID 39468

语言:

简介

远程 Web 服务容易受到 HTTP 标头注入攻击。

描述

远程 Web 服务器托管的 CGI 容易受到“标头注入”的影响。通过利用此问题,攻击者或可在受影响站点的安全环境内的用户浏览器中破坏代理缓存,或触发跨站脚本缺陷,以及造成任意 HTML 和脚本代码执行。
权限也可能提升,具体视应用程序而定。

解决方案

限制对有漏洞的应用程序的访问。联系供应商获取补丁或升级,以解决任何 HTTP 标头注入漏洞。

另见

https://en.wikipedia.org/wiki/HTTP_header_injection

http://projects.webappsec.org/w/page/13246931/HTTP%20Response%20Splitting

http://cwe.mitre.org/data/definitions/113.html

插件详情

严重性: Medium

ID: 39468

文件名: torture_cgi_header_injection.nasl

版本: 1.26

类型: remote

系列: CGI abuses

发布时间: 2009/6/19

最近更新时间: 2021/1/19

支持的传感器: Nessus

漏洞信息

必需的 KB 项: Settings/enable_web_app_tests

参考资料信息

CWE: 113, 93