Ядовитый ответ

Кислицин Никита

Хакер, номер #071, стр. 071-070-7

Как защитить свои программы?

После прочтения этого материала ты наверняка с ужасом спросишь: можно ли защититься от этой злостной атаки?! Да очень легко, тут не надо ничего придумывать. Просто проверяй на корректность все поступающие от пользователя данные, особенно те, которые добавляются в заголовок. И если уж вешаешь пользователю кукис или перенаправляешь его при помощи Location на другую страницу, будь уверен в том, что он не поимеет твой сценарий, реализовав HTTP response splitting.

CD

На нашем диске ты найдешь подборку документов по HTTP response splitting, а также набор RFC, специфицирующих протокол HTTP.

WARNING

Эта статья была написана лишь для того, чтобы обратить внимание web-программистов на новую и очень опасную ошибку, которая может привести к непоправимым последствиям.

INFO

Следует очень хорошо понимать, что перед HTTP response splitting все равны. Уязвимы абсолютно все популярные web-серверы, web-браузеры и кэширующие прокси. Такая ошибка может всплыть в любой программе, независимо от того, на каком языке она написана.