CGI 通用標頭插入
medium Nessus Plugin ID 39468
語系:
概要
遠端 Web 伺服器容易遭受 HTTP 標頭插入攻擊。說明
遠端網頁伺服器託管的 CGI 容易受到「標頭插入」影響。攻擊者可能會利用此問題,破壞代理快取或觸發跨網站指令碼缺陷,並針對受影響網站的安全性內容,在使用者的瀏覽器中執行任意 HTML 和指令碼。權限也可能提升,視應用程式而定。
解決方案
限制存取容易遭受攻擊的應用程式。聯絡廠商取得修補程式或升級,以解決所有 HTTP 標頭插入弱點。另請參閱
https://en.wikipedia.org/wiki/HTTP_header_injection
http://projects.webappsec.org/w/page/13246931/HTTP%20Response%20Splitting
Plugin 詳細資訊
嚴重性: Medium
ID: 39468
檔案名稱: torture_cgi_header_injection.nasl
版本: 1.26
類型: remote
系列: CGI abuses
已發布: 2009/6/19
已更新: 2021/1/19
支援的感應器: Nessus
風險資訊
CVSS v2
風險因素: Medium
基本分數: 4.3
媒介: CVSS2#AV:N/AC:M/Au:N/C:N/I:P/A:N
弱點資訊
必要的 KB 項目: Settings/enable_web_app_tests