web基础漏洞-响应注入漏洞

发布时间 2023-05-29 17:34:59作者: 挖洞404

1、介绍

响应注入漏洞,是指的攻击者可以控制参数,包含在响应中,影响正常执行。

典型的是:

  • 重定向漏洞,输出到location字段
  • 地址类漏洞,输出到响应头部或响应体部的地址类参数
  • 会话固定漏洞,输出到set-cookie
  • 响应拆分漏洞
  • xss漏洞,直接或间接参与脚本构造
  • json劫持

除此之外,还存在以注入到数据为核心理念的类型。

  • json格式
  • xml格式
  • 一般字符串格式
  • 图片等其它资源

这些数据的可能应用:

  • 作为值,被加载显示。篡改后,可以进行钓鱼
  • 转为js代码,比如函数定义
  • 作为html对象
  • 作为js对象

2、防护

慎用用户输入作为参数

严格对用户输入进行检查