qq_42072229
2018-11-03 13:06
采纳率: 50%
浏览 3.4k
已采纳

fiddler抓包后修改HTTP头referer的值,测试响应与原始响应没有区别,这样算不算有漏洞?

用appscan扫描出很多这个问题,本人小白不知怎样验证算不算问题,严重与否,请各位
帮帮我!
图片说明

  • 点赞
  • 写回答
  • 关注问题
  • 收藏
  • 邀请回答

1条回答 默认 最新

  • 玄尺 2018-11-03 15:32
    已采纳

    按照http协议,浏览器在发网络请求时,会把当前页面的url带上发送给服务器端,referer字段表示该页面的请求来源。一般来说referer的作用有下面几种:
    1. 防盗链,比如A网站上有一些图片,B站点希望直接引用该图片地址,A站点便可以使用referer拦截非法请求
    2. 防止XSS这种跨站攻击

    回到你的问题:
    Referer字段是浏览器根据协议上传,如果使用测试工具进行mock,这种情况下如果服务器不进行拦截,请求肯定可以访问成功。估计就是这个原因被扫描出漏洞。
    解决方法:
    在服务器端对referer进行拦截。

    安全无小事,这是红线也是底线。

    点赞 打赏 评论