qq_42072229 2018-11-03 13:06 采纳率: 50%
浏览 3577
已采纳

fiddler抓包后修改HTTP头referer的值,测试响应与原始响应没有区别,这样算不算有漏洞?

用appscan扫描出很多这个问题,本人小白不知怎样验证算不算问题,严重与否,请各位
帮帮我!
图片说明

  • 写回答

1条回答 默认 最新

  • 玄尺 2018-11-03 15:32
    关注

    按照http协议,浏览器在发网络请求时,会把当前页面的url带上发送给服务器端,referer字段表示该页面的请求来源。一般来说referer的作用有下面几种:
    1. 防盗链,比如A网站上有一些图片,B站点希望直接引用该图片地址,A站点便可以使用referer拦截非法请求
    2. 防止XSS这种跨站攻击

    回到你的问题:
    Referer字段是浏览器根据协议上传,如果使用测试工具进行mock,这种情况下如果服务器不进行拦截,请求肯定可以访问成功。估计就是这个原因被扫描出漏洞。
    解决方法:
    在服务器端对referer进行拦截。

    安全无小事,这是红线也是底线。

    本回答被题主选为最佳回答 , 对您是否有帮助呢?
    评论

报告相同问题?

悬赏问题

  • ¥15 metadata提取的PDF元数据,如何转换为一个Excel
  • ¥15 关于arduino编程toCharArray()函数的使用
  • ¥100 vc++混合CEF采用CLR方式编译报错
  • ¥15 coze 的插件输入飞书多维表格 app_token 后一直显示错误,如何解决?
  • ¥15 vite+vue3+plyr播放本地public文件夹下视频无法加载
  • ¥15 c#逐行读取txt文本,但是每一行里面数据之间空格数量不同
  • ¥50 如何openEuler 22.03上安装配置drbd
  • ¥20 ING91680C BLE5.3 芯片怎么实现串口收发数据
  • ¥15 无线连接树莓派,无法执行update,如何解决?(相关搜索:软件下载)
  • ¥15 Windows11, backspace, enter, space键失灵