dbo:abstract
|
- La Separación de respuesta HTTP es una vulnerabilidad de una aplicación web que resulta cuando fracasa la limpieza de valores de entrada por parte de la aplicación o de su ambiente. Puede usarse para realizar ataques cross-site scripting, cross-user defacement, envenanimiento del cache web y otros exploits. El ataque consiste en lograr que el servidor imprima una secuencia retorno de carro (CR, ASCII 0x0D) y nueva línea (LF, ASCII 0x0A) seguida de contenido suministrado por el atacante en la cabecera de su respuesta, típicamente incluyéndolos en los campos de entrada enviados a la aplicación. Por el estándar HTTP (), dos encabezados se separan por un CRLF y los encabezados se separan del cuerpo de la respuesta mediante dos CRLFs. Por esto, si se fracasa en eliminar los CRs y LFs se permitirá al atacante establecer encabezados arbitrarios, tomar el control del cuerpo o de la terminación de la respuesta en dos o más repuestas separadas --a esto se debe el nombre de la vulnerabilidad. (es)
- La Separación de respuesta HTTP es una vulnerabilidad de una aplicación web que resulta cuando fracasa la limpieza de valores de entrada por parte de la aplicación o de su ambiente. Puede usarse para realizar ataques cross-site scripting, cross-user defacement, envenanimiento del cache web y otros exploits. El ataque consiste en lograr que el servidor imprima una secuencia retorno de carro (CR, ASCII 0x0D) y nueva línea (LF, ASCII 0x0A) seguida de contenido suministrado por el atacante en la cabecera de su respuesta, típicamente incluyéndolos en los campos de entrada enviados a la aplicación. Por el estándar HTTP (), dos encabezados se separan por un CRLF y los encabezados se separan del cuerpo de la respuesta mediante dos CRLFs. Por esto, si se fracasa en eliminar los CRs y LFs se permitirá al atacante establecer encabezados arbitrarios, tomar el control del cuerpo o de la terminación de la respuesta en dos o más repuestas separadas --a esto se debe el nombre de la vulnerabilidad. (es)
|