偵測

要求 URL 覆寫

medium Web App Scanning Plugin ID 114262

語言:

概要

要求 URL 覆寫

說明

Web 應用程式元件有時可能依賴 'X-Original-URL' 或 'X-Rewrite-URL' 等 HTTP 要求標頭來覆寫此要求的原始路徑。攻擊者可利用此弱點發動進一步攻擊,以繞過限製或發動快取毒害攻擊。

解決方案

如果應用程式使用已知易受攻擊的元件,請將其更新為修正後的版本或更新版本。否則,請檢閱應用程式邏輯,確保 HTTP 標頭 (如 'X-Original-URL' 或 'X-Rewrite-URL' ) 未受信任且未在其路由邏輯中使用

另請參閱

https://framework.zend.com/security/advisory/ZF2018-01

https://owasp.org/www-project-web-security-testing-guide/latest/4-Web_Application_Security_Testing/05-Authorization_Testing/02-Testing_for_Bypassing_Authorization_Schema

https://symfony.com/blog/cve-2018-14773-remove-support-for-legacy-and-risky-http-headers

Plugin 詳細資訊

嚴重性: Medium

ID: 114262

類型: remote

已發布: 2024/4/22

已更新: 2024/4/22

掃描範本: api, basic, full, pci, scan

風險資訊

VPR

風險因素: Low

分數: 3.6

CVSS v2

風險因素: Medium

基本分數: 4

媒介: CVSS2#AV:N/AC:L/Au:S/C:N/I:P/A:N

CVSS 評分資料來源: CVE-2018-14773

CVSS v3

風險因素: Medium

基本分數: 6.5

媒介: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N

CVSS 評分資料來源: CVE-2018-14773

CVSS v4

風險因素: Medium

Base Score: 6.9

Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:L/SC:N/SI:N/SA:N

CVSS 評分資料來源: Tenable

弱點資訊

弱點發布日期: 2018/7/31

參考資訊

CVE: CVE-2018-14773