HTTP header injection bug

Discussion in 'Уязвимости' started by YaBtr, 8 Feb 2015.

  1. YaBtr

    YaBtr Members of Antichat

    Joined:
    30 May 2012
    Messages:
    601
    Likes Received:
    350
    Reputations:
    652
    XSS в header() для Internet Explorer.

    Пляшем от того, что в отличии от других браузеров, IE принимает %0A%20 и %0D%0A%20 в качестве разделителей HTTP заголовков.

    Подробности и PoC на https://bugs.php.net/bug.php?id=68978.
     
    #1 YaBtr, 8 Feb 2015
    1 person likes this.
(You must log in or sign up to post here.)
Language
English (US)
    ANTICHAT ™ © 2001-2027 Antichat Kft.