1
私は、コントローラに以下のコードを書いた:
$this->redirect('https://example.com' . $this->here);
それは、ヘッダインジェクションを持っていますか?
ex) http://example.com/%0dSet-Cookie:XXXX=YYYYY
修正方法を教えてください。
A
答えて
3
CakePHPのどの部分も直接脆弱ですが、脆弱なコードはありません。実際のリダイレクトController->redirect()を実行するには、Controller->header()が呼び出され、header()が呼び出されます。したがって、あなたがHTTPヘッダーの注入に脆弱かどうかを指示するのは、使用されているPHPのバージョンです。この脆弱性はremediated in header() in releases 4.4.2 and 5.1.2 of PHPでした。
ただし、信頼できない、または不明なコンテンツをロケーションヘッダーに入れないでください。したがって、ホワイトリストの検証で防御的にコードすれば問題ありません。
+0
+1搾取のこの方法は古いです。 – rook
関連する問題
- 1. cakephp 2.0アップグレードシェルredirect()faulty?
- 2. CakePHPチェックセッションがデータベースにあります
- 3. CakePHP PayPalプラグインはありますか?
- 4. ASP.NETのSMTPヘッダインジェクション?
- 5. CakePHPにはデータソース用のネイティブなMERGEメソッドがありますか?
- 6. CakePHP 1.3では、 `saveAll()`の後にコールバックがありますか?
- 7. cakephpコントローラにはフォルダがあります使用方法は?
- 8. cakephp 2.0コントローラーがありません
- 9. CakePHP。 $ this-> loadModelがありますが、ファイル自体はモデルではありません。どうですか?
- 10. CakePHPのブログチュートリアルのCSSファイルはどこにありますか?
- 11. CakePHP - Form-> selectには折り返しdivがありませんか?
- 12. MVCフレームワークのコントローラまたはモデル内からredirect()を呼び出す必要がありますか?
- 13. 私はCakePHPデータソースにparent :: __ construct($ config)を入れる必要がありますか?
- 14. cakePHP Bakeとデータベーステーブルの1つに問題があります
- 15. index.phpのないCakePHPのフロントページにエラーがあります
- 16. CakePHPインストール用のインデックスページのデフォルトコントローラはありますか?
- 17. CakePHP 2.0ファイルのアップロード、$ dataは効果がありません
- 18. Pythonにはモジュールがありますが、C++には何がありますか?
- 19. CakePHPテーブルのプライマリキーが追加機能にありません
- 20. CakePHP検索プラグインに問題がありました
- 21. セッションのタイムアウトがCakePHP 2.0であまりにも遅い
- 22. 私のcakePHPの保存方法に何か問題があります
- 23. データベーステーブルCakephpが見つかりません
- 24. cakephpモデルが見つかりません
- 25. cakephpログインページはどこにもありません
- 26. CakePHP 3 - グローバル関数とモデル/コントローラへのアクセスはどこにありますか?
- 27. CakePHP 1.3&Simpletestを使用してコントローラでmock redirect()エンドテストを行うことはできますか?
- 28. CakePHPで追加/編集/削除をテストする必要がありますか?
- 29. CakePhpレコードは削除されますが、更新する必要がありますか?
- 30. CakePHPでの編集時にURLの `id`フィールドに問題があります
あなたは何を達成しようとしていますか? $ this->ここに何がありますか? – kaklon
この場合、 '$ this-> here'は現在のURLなので、ここには何も挿入することはできません。 – Dunhamzzz