qq_42072229 2018-11-03 13:06 采纳率: 50%
浏览 3571
已采纳

fiddler抓包后修改HTTP头referer的值,测试响应与原始响应没有区别,这样算不算有漏洞?

用appscan扫描出很多这个问题,本人小白不知怎样验证算不算问题,严重与否,请各位
帮帮我!
图片说明

  • 写回答

1条回答 默认 最新

  • 玄尺 2018-11-03 15:32
    关注

    按照http协议,浏览器在发网络请求时,会把当前页面的url带上发送给服务器端,referer字段表示该页面的请求来源。一般来说referer的作用有下面几种:
    1. 防盗链,比如A网站上有一些图片,B站点希望直接引用该图片地址,A站点便可以使用referer拦截非法请求
    2. 防止XSS这种跨站攻击

    回到你的问题:
    Referer字段是浏览器根据协议上传,如果使用测试工具进行mock,这种情况下如果服务器不进行拦截,请求肯定可以访问成功。估计就是这个原因被扫描出漏洞。
    解决方法:
    在服务器端对referer进行拦截。

    安全无小事,这是红线也是底线。

    本回答被题主选为最佳回答 , 对您是否有帮助呢?
    评论

报告相同问题?

悬赏问题

  • ¥15 求差集那个函数有问题,有无佬可以解决
  • ¥15 【提问】基于Invest的水源涵养
  • ¥20 微信网友居然可以通过vx号找到我绑的手机号
  • ¥15 寻一个支付宝扫码远程授权登录的软件助手app
  • ¥15 解riccati方程组
  • ¥15 display:none;样式在嵌套结构中的已设置了display样式的元素上不起作用?
  • ¥15 使用rabbitMQ 消息队列作为url源进行多线程爬取时,总有几个url没有处理的问题。
  • ¥15 Ubuntu在安装序列比对软件STAR时出现报错如何解决
  • ¥50 树莓派安卓APK系统签名
  • ¥65 汇编语言除法溢出问题