qq_42072229 2018-11-03 13:06 采纳率: 50%
浏览 3573
已采纳

fiddler抓包后修改HTTP头referer的值,测试响应与原始响应没有区别,这样算不算有漏洞?

用appscan扫描出很多这个问题,本人小白不知怎样验证算不算问题,严重与否,请各位
帮帮我!
图片说明

  • 写回答

1条回答 默认 最新

  • 玄尺 2018-11-03 15:32
    关注

    按照http协议,浏览器在发网络请求时,会把当前页面的url带上发送给服务器端,referer字段表示该页面的请求来源。一般来说referer的作用有下面几种:
    1. 防盗链,比如A网站上有一些图片,B站点希望直接引用该图片地址,A站点便可以使用referer拦截非法请求
    2. 防止XSS这种跨站攻击

    回到你的问题:
    Referer字段是浏览器根据协议上传,如果使用测试工具进行mock,这种情况下如果服务器不进行拦截,请求肯定可以访问成功。估计就是这个原因被扫描出漏洞。
    解决方法:
    在服务器端对referer进行拦截。

    安全无小事,这是红线也是底线。

    本回答被题主选为最佳回答 , 对您是否有帮助呢?
    评论

报告相同问题?

悬赏问题

  • ¥20 cad图纸,chx-3六轴码垛机器人
  • ¥15 移动摄像头专网需要解vlan
  • ¥20 access多表提取相同字段数据并合并
  • ¥20 基于MSP430f5529的MPU6050驱动,求出欧拉角
  • ¥20 Java-Oj-桌布的计算
  • ¥15 powerbuilder中的datawindow数据整合到新的DataWindow
  • ¥20 有人知道这种图怎么画吗?
  • ¥15 pyqt6如何引用qrc文件加载里面的的资源
  • ¥15 安卓JNI项目使用lua上的问题
  • ¥20 RL+GNN解决人员排班问题时梯度消失