Content-Type Header missing

Was ist Content-Type Header missing?

Content-Type Header missing liegt vor, wenn fehlerhafte oder anormale HTTP-Anfragen von einer oder mehreren Dateneinheiten im Datenfluss zwischen dem Benutzer und dem Webserver (z.B. einem Proxy oder einer Firewall) interpretiert werden, k√∂nnen sie inkonsistent interpretiert werden, sodass der Angreifer eine Anfrage in ein Ger√§t “schmuggeln” kann, ohne dass das andere Ger√§t davon Kenntnis hat.

Beschreibung

Ein Angreifer könnte eine Anfrage erstellen, um eine Reihe von Schwachstellen auszunutzen, darunter

  • die Anfrage kann den Webserver dazu verleiten, eine URL mit einer anderen URL-Webseite zu verkn√ľpfen und den Inhalt der Webseite zwischenzuspeichern (Webcache-Poisoning-Angriff)
  • die Anfrage kann strukturiert sein, um die Firewall-Schutzmechanismen zu umgehen und nicht autorisierten Zugriff auf eine Webanwendung zu erhalten
  • die Anfrage kann ein Script oder eine Seite aufrufen, die Client-Anmeldeinformationen zur√ľckgibt (√§hnlich einem Cross Site Scripting-Angriff).

Security Scanner lösen eine Warnmeldung aus, wenn die Antwort keine Content Typ Header enthält oder wenn der Header existiert, aber der Wert leer ist.

Tipp

√úberpr√ľfen Sie die Sicherheit Ihrer Website mit unserem kostenlosen Security Crawler oder mit der OSG Performance Suite Free Version.

Lösung

Das Einschleusen von Anfragen kann aufgrund eines Mehrfachinterpretationsfehlers √ľber eine konsistente Manipulation (√úberschriften f√ľr die √úbertragungseingabe und Inhaltsl√§nge) ausgef√ľhrt werden.

  • Verwenden Sie einen Webserver, der ein strenges HTTP-Analyseverfahren verwendet, wie z. B. Apache.
  • Verwenden Sie nur SSL-Kommunikation.
  • Beenden Sie die Client-Sitzung nach jeder Anforderung.
  • Setzen Sie alle Seiten so, dass nicht zwischengespeichert wird.

Datenbanklink zur Schwachstelle

https://cwe.mitre.org/data/definitions/444.html


Sie haben noch Fragen?

Kontaktieren Sie uns

Kostenloser SEO-Check der OSG


Weitere Inhalte