如何解决UTF-7漏洞

最新推荐文章于 2019-08-29 09:55:24 发布
最新推荐文章于 2019-08-29 09:55:24 发布 · 1.2k 阅读 · 0

本文详细介绍了如何通过设置HTTP响应头的Content-Type为json,组织UTF-7BOM并在页面中设置正确的字符集,来解决常见的HTTP漏洞问题,提供了解决方案并防止此类问题被忽视。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

又有应用被扫描到这个漏洞了,这个漏洞太低调,经常被大家忽略。且遇到后找不到解决方案。

整理下。

 

1:设置HTTP RESPONSE :

Content-Type:json

 

2:组织UTF-7 BOM

在response 的最前面加上换行或空格

 

3:组织页面里在<meta> 前设置chaset

utf7-BOM 字符串注入
caoliangbo的博客
03-14 1570
        最近公司忽然爆出一些安全漏洞,且会员引起了金钱的损失。于是大家都忙于找自己的安全漏洞。由于之前接触最多的是CSRF/CSS sql注入之类的攻击,所以这些都是保证的,但这次从安全同学那里第一次听说利用UTF-7编码结合XSS去攻击的安全漏洞,搜索了个海枯石烂,总算搞懂了       网上找到的实例: http://music.10086.cn/newweb...
【应用安全——XSS】——UTF-7 XSS
Fly_鹏程万里
02-22 1771
受影响浏览器版本为IE6,影响范围较小。 如果在Content-Type中没有设置charset,如下: Content-Type:text/html 在meta标签中也没有设置字符集 &lt;meta http-equiv=”Content-Type” content=”text/html; charset=utf-8″ /&gt; 就可以通过字符集抢占的方式使浏览器以UTF-7解析。...
XSS绕过
gam0n的博客
08-29 384
1.将编码转换为utf-7编码,用于检测是否存在utf-7 BOM xss 按照RFC标准Header头设置的字符集优先于META和BOM等其他方式识别出的字符集,而BOM要求在文件的头几个字节。由于IE浏览器没有指定字符集的识别方式,加上常规的危险字符过滤机制,UTF-7编码中的字符集并不包含危险的字符,所以就绕过了常规的过滤机制,进行跨站脚本攻击。 payload:%2B/v8APA-sc...
解决跨站脚本注入,跨站伪造用户请求,sql注入等http安全漏洞
weixin_34304013的博客
06-08 547
跨站脚本就是在url上带上恶意的js关键字然后脚本注入了,跨站伪造用户请求就是没有经过登陆,用超链接或者直接url上敲地址进入系统,类似于sql注入这些都是安全漏洞。 sql注入 1、参数化查询预处理,如java使用PreparedStatement()处理变量。 2、转义敏感字符及字符串(SQL的敏感字符包括“exec”,”xp_”,”sp_”,”declare”,...
[电子商务]ECShop v2.6.0 Build 20080902 UTF-8_ecshop.v2.6.0_utf-8.zip
最新发布
03-13
综上所述,ECShop v2.6.0 Build 20080902 UTF-8版本是一个强大且功能全面的电子商务解决方案,它集成了当时先进的技术和设计理念,旨在帮助商家高效运营在线商店,并为用户提供优质的购物体验。虽然现在可能已有更新...
PHPvod视频点播系统 2.6 for php5.2.x utf-8.rar
05-24
如果具备相应权限,用户可以于前台发布与上传影片,提交评论等操作,管理员后台进行审核(也可以不审核直接显示),从根本上避免网络资源的同质化,从而解决搜索引擎不收录网页等问题,保持网站的持久繁荣。...
KesionCMS X1.0.150526加强版(UTF-8)
05-23
总的来说,KesionCMS X1.0.150526加强版提供了一套完善的内容管理解决方案,用户不仅可以利用其强大的功能快速建立网站,还可以通过附加的插件进一步扩展其功能。在使用过程中,务必遵循许可协议,详细阅读安装说明...
基于PHP的CMSSP4utf-8正式版源码.zip
08-13
开发者需要检查代码中可能的安全漏洞,如SQL注入、XSS攻击等,并确保系统定期更新以修补潜在的安全风险。 通过深入研究CMSSP4utf-8的源码,不仅可以提升PHP编程技能,还可以了解到CMS系统设计的最佳实践,这对于...
PHP云人才系统(PHPYun) 4.6 UTF-8.rar
05-23
PHP云人才系统(PHPYun)是专为中文用户设计和开发,程序源代码100%完全开放的一个采用PHP和MySQL数据库构建的高效的人才与企业求职招、聘解决方案,在尊重版权的前提下能极大的满足站长对于网站程序进行二次开发。...
UTF-7 编码解码工具
03-14
UTF-7,编码解码工具,可直接用于跨站脚本攻击xss
解决跨站脚本注入问题
啊杰的专栏
01-21 7806
===========================问题描述======================== 跨站脚本注入的几种形式 *****="/>alert(document.cookie)&passwd=&ok.x=28&ok.y=6 ******="/>window.open("http://www.baidu.com")> /document/ifr_list_ma
字符编码带来的安全隐患——一个谷歌XSS漏洞
步满生错的专栏
10-18 3317
本文翻译自 http://shiflett.org/blog/2005/dec/googles-xss-vulnerability 多年以前谷歌曾爆出一个XSS漏洞证明了字符编码设置的重要性。 但直到2011年,这种漏洞还是时有发生。 一个典型的例子参见淘宝UTF7漏洞跨站
about utf7-BOM string injection
weixin_34192816的博客
02-13 219
about utf7-BOM string injection 在一次和大牛Mario Heiderich的交流中,他问我知不知道“+/v8”,那时候我对这个一无所知,于是他就发我大牛Gareth Heyes'的一paper《XSS Lightsabre techniques》,在ppt的34页里: CSS expressions with UTF-7 • ...
字符集与编码(七)——BOM
weixin_34148508的博客
09-29 333
2019独角兽企业重金招聘Python工程师标准>>> ...
XSS跨站脚本攻击剖析与防御--读书笔记
Q1n6
09-12 2610
XSS是指攻击者将恶意脚本代码(HTML代码和客户端Javascript脚本)注入到网页中,当其他用户浏览这些网页时,就会执行其中的恶意代码。 绕过XSS-Filter 1.利用 alert(0);防御:过滤等 2.利用HTML标签属性值执行XSS 由于不是所有web浏览器都支持Javascript伪协议,不过例如IE6还是支持的。由于浏览器配置不同,如果必要的话测试可以使用
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值